网站登录持久化Cookie方案
发布时间:2023-07-01 01:44:17
前提
1. Cookie 是脆弱的。cookie 容易被窃取和受到垮站脚本的攻击,我们必须接受 cookie 是不安全的。
2. 持久化登录 cookies 使得它们能通过网站的认证。这跟使用用户名和密码登录是相同的。
3. 能从登录 cookie 里恢复密码的设计比不能恢复更危险。
4. 把持久化 cookie 跟 ip 绑定起来大多数时候使它们并不持久。
5. 用户可能希望同时把 cookie 持久保存在多个浏览器,多台机器上。
方案
首先这个 cookie 由用户名、分隔符和一个很大的随机数(128 位是比较理想的可以接受的长度)组成。服务器上有一张表保存有这个随机数和用户名的关系,用来验证 cookie 是否合法。如果 cookie 提供的随机数和用户名跟表上存的能对应上且未过期,那么就可以接受用户的登录。 表结构:
id username token expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00
某些时候,一个用户名可能对应多个随机数。另外,虽然不大可能,但即使有两个用户名对应同一个随机数也没什么关系。
一个持久化 cookie 被认证后,这个用来登录的随机数就失效了,并且需要分配一个新的 cookie (生成一个新的随机数, 并更新数据库里的记录)给用户。然后用标准的 session 管理机制来处理 session 的生命周期,而那个新设置的 cookie 直到这次 session 结束都不会再被检查。
服务器不需要特意防止一个以前用过的随机数被重新使用,这个几率非常小,即使发生了也没有人会知道可以利用它。
当用户通过退出功能退出后,他们当前 cookie 里的随机数也就失效了。用户也应该可以选择清除所有被系统记录的持久化登录。
数据库不定期的清理那些过期的记录(类似 session 的 gc 机制)。
下面这些功能不能允许通过 cookie 登录的用户使用:
* 修改密码
* 修改用户邮箱(特别是如果系统的密码找回机制是基于邮箱的)
* 任何用户的敏感信息
* 任何需要支付的功能
最后
如果用户的登录 cookie 受到了攻击,攻击者就能以这个用户的身份来使用网站的功能。这是使用 cookie 无法避免的!尽管如此,攻击者应该不能:
* 接触用户的敏感信息
* 花用户的钱
* 重置用户密码
* 以用户的名义阻止用户接收网站的通知
* 共享偷到的 cookie 给其他人
猜你喜欢
- 一、前言在Python提供了re模块,用于实现正则表达式的操作。在实现时,可以使用re模块提供的方法(如,search()、match()、
- 一、前言很多网站提供视频转GIF的功能,但要么收费要么有广告实际上我们通过python,几行代码就能够实现视频转gif二、教程1. 安装必备
- 线程间通信方法 1. 通信方法线程间使用全局变量进行通信 2. 共享
- 本文主要研究的是Python对内存的使用(深浅拷贝)的相关问题,具体介绍如下。浅拷贝就是对引用的拷贝(只拷贝父对象) 深拷贝就是对对象的资源
- 特么的,上次写了一堆,发现,原来下载网易云的歌曲根本不用这么费劲,直接用!http://music.163.com/song/media/o
- 目录1. 正则表达式_匹配单个字符2. 正则表达式_匹配多个字符3. 正则表达式_匹配分组小提示:4. 小练习答案:总结1. 正则表达式_匹
- 获得list中最大元素的索引aa = [1,2,3,4,5]aa.index(max(aa)) 相应的最小值使用aa = [1,2,3,4,
- 起步在 《分布式任务队列Celery使用说明》 中介绍了在 Python 中使用 Celery 来实验异步任务和定时任务功能。本文介绍如何在
- asp之家注:也许很多人对网页设计中的,id和class和name的区别不是很清楚,好像觉得都可以使用,没什么不同。就我个人来讲,我的理解是
- 一、默认参数python为了简化函数的调用,提供了默认参数机制:这样在调用pow函数时,就可以省略最后一个参数不写:在定义有默认参数的函数时
- 1.INSERT (往数据表里插入记录的语句) INSERT INTO 表名(字段名1, 字段名2, ……) VALUES ( 值1, 值2
- <%Dim sc4Json Sub InitScriptControlSet sc
- Python中有一个有趣的语法,只要定义类型的时候,实现__call__函数,这个类型就成为可调用的。换句话说,我们可以把这个类型的对象当作
- 如果您还不太了解XML技术,您可以先看看此文:XML的语法、结构以及相关的一些技术 及 XML DOM介绍和例子XML中 CDATA的作用:
- 1.汇率换算程序案例描述设计一个汇率换算器程序,其功能是将外币换算成人民币,或者相反案例分析分析问题:分析问题的计算部分;确定问题:将问题划
- 利用OpenCV练习读取图片的时候,图片总是一闪而过,不利于观察,这个时候需要利用到waitKey函数。waitKey函数:用来等待按键,当
- 类中定义的方法大致可以分为两类:绑定方法和非绑定方法。其中绑定方法又可以分为绑定到对象的方法和绑定到类的方法。一、绑定方法1 对象的绑定方法
- glob 文件名模式匹配,不用遍历整个目录判断每个文件是不是符合。1、通配符星号(*)匹配零个或多个字符import globf
- 用for循环实现1~n求和的方法def main(): sum = 0 n = int(input('n=&
- MySQL的本地备份和双机相互备份脚本:首先,我们需要修改脚本进行必要的配置,然后以root用户执行。◆1. 第一执行远程备份时先用 fir