おそらくパスワードを保存したくないでしょう。
必要なのは、「ユーザーはすでに認証されています」フラグを保存することです。
やはり「ダイジェストアクセス認証」について学ぶべきです。ハッシュ化されたデータを保存することは常にプラスです。
この答えは短すぎます。これは主に、可能性が多すぎるためです。また、未解決の質問が多すぎます。
リピーターの扱い:
(サーバー側で) セッション データベースを管理できます。セッションIDのみを保存するCookieに。ユーザーが自分自身を認証すると、サーバー側のデータベースに彼のステータス「ログイン済み」が保存されます。彼がログアウトすると、DB ステータスが「ログオフ」に変わります。
戻ってきたユーザーの処理には、「パスワードの保存」はまったくありません。たとえば、open-id、twitter、facebook などの外部認証サービスによってユーザーを認証できます。セッション ID などによってステータスを保存するだけです。
通常、ブラウザはユーザー名/パスワードを保存できますが、これは常にユーザーの責任です。ユーザーが自分のパスワードだけを覚えておきたい場合は、パスワードを保存しないでください。
暗号化されたパスワードを Cookie に保存することで、アプリとセキュリティ メカニズムを複雑にする必要があるのはなぜですか?どのような観点から見ても、これは正しい解決策ではありません。
簡単な流れ:
- 新しいユーザーがサイトにアクセスすると、新しいセッション ID が割り当てられ、その SID が Cookie に保存されます。
- 彼が(https経由で)ログインすると-DBに保存されます=「セッションID」->「ログイン済み」
- 彼が 1 週間後に戻ってきたら、(サーバー側で) Cookie から彼のセッション ID を受け入れることができます。また、DB から彼の「ログイン」ステータスを取得するか、もう一度彼を強制的にログインさせることができます (たとえば、有効期限の)
- 上記のすべては、パスワードを何らかの方法で保存するリスクがありません