基本上,我想要的是使用登录cookie的替代方法,因为技术上可以猜测(有办法解决这个问题,但为什么不完全消除威胁)?
我正在考虑的是一个系统,其中不要在公共计算机上使用警告,允许用户不使用cookie自动登录,而是通过遵循 /login/email@example.com/myPassword 即可。
我想问的是,我是否应该费心去创建这样一个系统,还是会造成更多的安全漏洞?一方面,基于cookie的一个可以再次简单地请求密码,例如,如果IP或用户代理不匹配,另一方面,我可以节省相当多的数据库空间不必存储cookie名称。
答案 0 :(得分:4)
通过您的方法,用户的密码现在公开:在他们的浏览器历史记录中,在您的服务器日志中,到任何网络嗅探工具等等。用户的密码不应该在URL中。所以不,这不是一个好主意。
答案 1 :(得分:2)
我同意Simeon,但只是想指出一些额外的事情: