asp.net - Cookie を使用して asp.net でユーザーを自動ログインする (カスタム ログイン)

Question

探しているものがネット上で見つからないので、助けていただければ幸いです。ユーザーがメールアドレスとパスワードを入力してログインするカスタムログインフォームを実装しました。次に、それらの資格情報を使用してデータベースにクエリを実行し (パスワードはハッシュされ、ソルト化されます)、両方が見つかった場合は、UserID をセッション状態に保存します。ユーザーがブラウザーを閉じると、セッションが失われるため、再度ログインする必要があります。Cookie を使用して「Remember me」機能を実装することについて学びましたが、自動ログイン プロセスのために Cookie に何を保存し、それを安全にする必要があるかわかりません。

PS: Cookie とは何か、またその仕組みは知っています。また、ユーザー資格情報 (電子メール + パスワード) を Cookie に保存することはお勧めできません。C#でasp.net 4.0を使用しています

実際、Cookie を使用した自動ログイン システムの背後にあるロジックを探しています。

ありがとう！

Answer 1

この問題に関する非常に優れた記事を見つけました。全部読むことをお勧めします！

• http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
• 永続的なログイン (「Remember Me」) へのこのアプローチに関して知っておくべき落とし穴はありますか?
• 「remember me」Cookie トークンをハッシュする最良の方法
• フォームベースの Web サイト認証の決定版ガイド
• ウェブサイトに「remember me」を実装する最良の方法は何ですか?
• http://jaspan.com/improved_persistent_login_cookie_best_practice

Answer 2

Whenever I've done this I just make up some random "SessionId" guid and use that value.

If your code you can keep a list sessionId/UserId pairs and expire them as necessary.