ECHO陈文
关注互联网技术开发与维护运营

用户登录之cookie信息安全

大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。

下面我们来分析一些常用的解决方案

方案一:

1、生成用户验证token
用户登录后生成一个token,该token可能由如下信息组成:username+ip+expiration+salt【只是举例】,然后将组成信息用可逆加密函数加密得到token,并将该token保存到数据库或者服务器其他地方,然后创建cookie;
2、然后去校验信息,判断用户的登录状态
将token解密,验证用户username,如果存在,继续;然后验证token是否和存入数据库的token相同,如果相同继续;验证cookie的有效期expiration,如果有效继续;验证ip是否变化,若变化跳入登录……,甚至还可以验证user agent,可以做到单终端登录,可以将token放到数据库,每次登录操作必然会改变token的值,另外一端的用户就会token验证失败下线

当然还有更简单的每次登录只生成一个salt,判断salt

后续方案陆续补充。。。。

赞(0) 打赏
未经允许不得转载:芦苇派 » 用户登录之cookie信息安全

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏