![]() ![]() ![]() ![]() |
|||||
|
|||||
樓主 阿德Sky ![]()
![]() ![]() |
目前我自己的疑問在於(1)如何使用session與cookie混合使用製作 而不會導致有安全性相關的問題,我自己會使用session製作登入頁 但是用混合的方式,似乎問題也挺多的,目的是要能夠登入,並能夠讓使用者選擇登入時效 能夠誇頁籤與新開瀏覽器紀錄已登入的帳號 (2)session該存哪些資訊 cookie該存哪些資訊,才不會有安全性問題 (3)在次瀏覽時該如何判斷是否有登入過(session or cookie),或者儲存時效未過 以上是小弟概念還沒釐清的疑問,希望大大能夠幫小弟解惑! |
1樓
不錯的參考
溫子 ![]() ![]() |
當cookie被複製走考慮再多都是沒用的前提下...
你能做的只有兩件事情,cookie內容物的編碼,基礎上不要是明碼就好, 以及資料庫紀錄規範這個cookie上次建立的時間,在一個你認為可接受的時間範圍內, 允許某個IP所用的cookie資訊為信任... 如時間範圍外,因使用者還在系統中使用,檢查其session id是否與前次紀錄相同, 如相同再次授權其cookie使用時間到下個檢查點...
本篇文章回覆於2011-05-07 14:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
2樓
作者回應
阿德Sky ![]() ![]() |
那請問一下如果紀錄來源IP(假設都在時間範圍內)
那跟自動登入有甚麼作用 因為如果使用者因為特殊原因導致斷線重新連線,當然IP也換了 這時候記錄的IP也不就不成立了嗎??
本篇文章回覆於2011-05-08 02:37
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
3樓 |
紀錄IP只是確認這個cookie是合法來源的~~
當然不成立!! 這就要問你自己了,信任cookie比較多,還是session & DB 比較多, 溫子也一開始就說明了"當cookie被複製走考慮再多都是沒用的前提下..." 也就是溫子不信任cookie的情況下!! 說到這裡就要問樓主你所謂的時間範圍是多久,如果超過一天以上,那就忘掉溫子說的吧!!
本篇文章回覆於2011-05-09 01:57
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
4樓
最有價值解答
浩瀚星空 ![]() ![]() |
一般要做到自動登入。就只能利用COOKIE。
當然了~~~用了COOKIE。如果如溫子所說的。COOKIE被人家COPY走那就是再其它電腦也是可以登入。 確實有一定的危險性。 為何會有這自動登入。一般我們能考量的。就是希望能將帳密存在客戶本機上。這樣每一次上來就不需要再登入一次。 也有一種作法。就是只用COOKIE記錄相關的KEY值。然後其它的相關驗証資料就存在伺服端上。 當用戶又再次來到你的網頁。就先取得他本機中的COOKIE的儲存KEY。然後再從伺服器中帶入其它的認証資料。之後再將KEY值再變更一次。 這樣可增加少許的安全性。(至少人家真的COPY到客戶的COOKIE,也可以確保在一定時間內會被更換)
本篇文章回覆於2011-05-09 16:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
5樓
作者回應
阿德Sky ![]() ![]() |
恩~~
感謝兩位大大的指導 小弟有個底了~~~
本篇文章回覆於2011-05-14 00:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
回覆 |
如要回應,請先登入. |