Я хочу, чтобы на моем веб-сайте был установлен флажок, который пользователи могут нажимать, чтобы им не приходилось входить в систему каждый раз, когда они посещают мой веб-сайт. Я знаю, что мне нужно будет сохранить куки на своем компьютере, чтобы реализовать это, но что должно содержаться в этом куки?
Кроме того, существуют ли распространенные ошибки, на которые следует обратить внимание, чтобы этот куки-файл не представлял уязвимость безопасности, которой можно избежать, оставляя при этом функцию «запомнить меня»?
security
cookies
remember-me
Vort3x
источник
источник
Ответы:
Усовершенствованная практика использования файлов cookie для постоянного входа в систему
Вы можете использовать эту стратегию, описанную здесь, в качестве передового опыта (2006 г.) или обновленную стратегию, описанную здесь (2015 г.):
Такой подход обеспечивает глубокую защиту. Если кому-то удается утечь таблицу базы данных, это не дает злоумышленнику открытой двери для выдачи себя за пользователей.
источник
Я хотел бы хранить идентификатор пользователя и токен. Когда пользователь возвращается на сайт, сравните эти две части информации с чем-то постоянным, например с записью в базе данных.
Что касается безопасности, просто не помещайте туда ничего, что позволило бы кому-либо изменить cookie, чтобы получить дополнительные преимущества. Например, не храните их группы пользователей или их пароль. Все, что можно изменить, чтобы обойти вашу безопасность, не должно храниться в cookie.
источник
Сохраните их UserId и RememberMeToken. Когда они регистрируются с пометкой «Помни меня», генерируют новый RememberMeToken (который делает недействительными любые другие машины, помеченные как «Помни меня»).
Когда они вернутся, найдите их по токену Запомнить меня и убедитесь, что идентификатор пользователя совпадает.
источник
Исследуя постоянные сессии самостоятельно, я обнаружил, что это просто не стоит угрозы безопасности. Используйте его, если вам абсолютно необходимо, но вы должны рассматривать такую сессию только как слабо аутентифицированную и устанавливать новый логин для всего, что может быть полезно для злоумышленника.
Причина, конечно, в том, что ваши куки, содержащие ваш постоянный сеанс, так легко красть.
4 способа украсть ваши куки (из комментария Дженса Роланда на странице, на котором
@splattne
основан его ответ):источник