0

私が構築しているソーシャル Web サイトの自動ログオン/「ログイン状態を維持する」をセットアップしようとしています。

ユーザーがこの機能を有効にするためのチェックボックスがあり、「自動ログオン有効」、「SHA で暗号化されたユーザー名」、「SHA で暗号化されたパスワード」を含む 3 つの Cookie をシステムに書き込むことを計画しました。

問題は、誰かがそのシステムにアクセスすると、Cookie からユーザー名とパスワードの SHA ハッシュを取得し、少しのスキルでこれらを使用して個人としてログオンできることです。これは正しいですよね?

考えてみると、ログイン状態を維持するシステムは、このような Cookie を使用する必要があるため、Cookie の盗難に対して脆弱であると思います。これは正しいです?

最後に、安全な方法またはより安全な方法で、自動ログオン/ログイン状態を維持できる方法はありますか?

ありがとうございました

注:Facebookはこれを行っているようです-私は常にログインしているため...安全な方法があると思いますか?そこで仮定...

4

1 に答える 1

1

誰かがそのシステムにアクセスした場合、彼はユーザーのベース全体を盗む可能性があるため、秘密鍵を盗むことを心配する必要はありません.

とにかく、ユーザー情報を Cookie に保持したくない場合は、セッション キーをデータベースに保持することができます[user_id], [session_key], [expire_date](異なるコンピューターで動作するようにレコードを複数にすることができます)。クッキー: session_key="mn2..23j". 次に、Cookie がデータベース レコードと一致するかどうかを確認する必要があります。

于 2013-05-20T08:46:04.510 に答える