安全cookie登录状态设计方案
来源:互联网 发布:潘石屹三段婚姻知乎 编辑:程序博客网 时间:2024/05/29 15:13
上篇文章刚介绍了cookie based session,那么,如何保存cookie登录的状态安全性?
我们知道web是基于HTTP协议传输的,明文传输是极其危险的,随便哪个抓包工具分析下数据包,就over啦,一个加密的传输过程应该包括两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一部分为数据加密,用于数据的保密。
我大概是这样做的:
(1)生成用户验证token
用户登录后我会生成一个token,该token可能由如下信息组成:username+ip+expiration+salt【只是举例】,然后将组成信息用可逆加密函数加密得到token,并将该token保存到数据库,写入cookie;
(2)最后这样去校验信息,判断用户的登录状态
将token解密,验证用户username,如果存在,继续;然后验证token是否和存入数据库的token相同,如果相同继续;验证cookie的有效期expiration,如果有效继续;验证ip是否变化,若变化跳入登录。。。。。。甚至还可以验证user agent.
(3)可以做到单终端登录,可以将token放到数据库,每次登录操作必然会改变token的值,另外一端的用户就会token验证失败下线
最后说明:
1.上面保证了token每次登录都会不一样,这回导致之前的token【既cookie】失效
2.cookie的有效期最好不超过一周
转载地址: http://www.phpddt.com/php/cookie-auth-login.html 尊重他人劳动成果就是尊重自己!
0 0
- 安全cookie登录状态设计方案
- 简单安全的用cookie保持登录状态
- cookie 保存登录状态
- 用户登录之cookie信息安全
- jsp Cookie记住用户的登录状态
- PHP 使用cookie实现记住登录状态
- HttpClient保持登录cookie状态,继续操作
- Session、Cookie 记住登录状态的实现
- Filter过滤器+cookie实现自动登录和安全登录
- Jboss中间件安全设计方案
- 记住登录状态的安全做法
- PHP记住登录状态的安全做法
- Android 访问WebService登录通过Cookie保存登录状态
- 单点登录设计方案
- PHP安全编程:记住登录状态的安全做法
- PHP安全编程:记住登录状态的安全做法
- PHP安全编程之记住登录状态的安全做法
- 利用Cookie实现自动登录,尽量做到安全
- android中Broadcastreceiver学习
- 计算机组成结构学习笔记(1)
- 利用HttpOnly来防御xss攻击
- [iOS开发项目-4] 汤姆猫(只包含动作,没有发声功能)
- css过渡和动画初学
- 安全cookie登录状态设计方案
- 使用VirtualBox + Vagrant打造属于自己的开发环境1
- LintCode -- 不同的子序列
- HDU 4293 Groups(dp)
- 优化LINUX内核阻挡SYN洪水攻击
- c++设计模式-----observer(观察者模式)
- apache双向HTTPS SSL认证配置
- GitHub入门与实践一
- OJ学习笔记2