首页 服务器运维

用户登录之cookie信息安全

服务器运维 阅读 836

大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。

大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。

下面我们来分析一些常用的解决方案

方案一:

1、生成用户验证token
用户登录后生成一个token,该token可能由如下信息组成:username+ip+expiration+salt【只是举例】,然后将组成信息用可逆加密函数加密得到token,并将该token保存到数据库或者服务器其他地方,然后创建cookie
2、然后去校验信息,判断用户的登录状态
将token解密,验证用户username,如果存在,继续;然后验证token是否和存入数据库的token相同,如果相同继续;验证cookie的有效期expiration,如果有效继续;验证ip是否变化,若变化跳入登录……,甚至还可以验证user agent,可以做到单终端登录,可以将token放到数据库,每次登录操作必然会改变token的值,另外一端的用户就会token验证失败下线

当然还有更简单的每次登录只生成一个salt,判断salt

后续方案陆续补充。。。。

原创文章,作者:ECHO陈文,如若转载,请注明出处:https://www.luweipai.cn/ops/1605926229/

(0)

相关推荐

ECHO陈文
ECHO陈文
ECHO陈文

关注互联网技术开发与维护运营

π • 热门

  • 0