该方案是一个运行的Web应用程序,无法在本地存储信息,例如会话。所以为了提供国家,这就是我的想法。服务器有一个用户列表和SHA256(passwords + salt)。当用户登录时,我会设置一个名称cookie,其中包含用户名和带有SHA256(SHA256(password + salt) . ip)的密钥cookie。
这将允许服务器在不知道明文密码的情况下比较凭据,它不会在客户端的cookie中公开密码,并且会保护登录的凭据不被过滤到攻击者的系统,因为它会仅适用于该IP地址。
我能看到的唯一缺点就是没有办法强制到期。因此,它基本上是该用户/密码/ IP组合的终身cookie,或者至少在Web应用程序删除cookie或用户更改其密码之前。
答案 0 :(得分:1)
即使加密,也不得在cookie中的任何地方使用密码
给每个用户一个id,每次登录时你都必须:
1.更新登录时间
2.创建唯一会话标识
3.使用唯一会话ID设置cookie
现在每次请求服务器
1.验证会话cookie
2.检查登录时间和当前服务器时间。
这只是基本结构..