0

に移動: https://webmasters.stackexchange.com/questions/31834/remember-me-or-not

私を記憶する機能を持っていても安全ですか? ユーザーがブラウザーを閉じて、ログインしたまま戻ってくることを許可することは、ある程度安全でしょうか (100% 安全ではないことはわかっています)。安全性についてさまざまなことを読んだ後、どちらに進むべきか正確にはわかりません. セッション固定について学び、セキュリティを実装して保護を強化しました。

経験上、remember me がチェックされている場合、ユーザー名/電子メールのみが表示され、パスワードを再入力する必要があります。他のサイトでは、ブラウザを閉じた後にログアウトせずに、好きなだけ出入りできます。

安全である場合、ログインを記憶/維持するための現在の最良の方法は何ですか?

また、私が取り組んでいるサイトは、メールとパスワードのログインタイプです。

4

1 に答える 1

3

セッションのみを使用すると常に安全です。ただし、Cookie を安全にすることはできます。ユーザーエクスペリエンスが向上するため、「Remember me」を作成することをお勧めします。

安全な「Remember me」システムの作成について私が提案することは次のとおりです。

  • ユーザーの ID を Cookie に保存する
  • 特別なトークンとハッシュ + ソルトを生成し、Cookie に保存します
  • すべてをデータベースに保存する
  • ページが読み込まれるたびに Cookie からデータを取得し、データベースで検索してみてください
  • 見つからない場合は、ユーザーをログアウトします
  • ページの読み込みごとにトークンを変更する
于 2012-07-08T20:18:01.630 に答える