javascript - 求问网站的保持登入是怎么实现的啊?

问题描述

问 题

求问网站个页面间切换时的保持登入是怎么实现的啊?

如果是存储cookiede的话,是存储用户名和密码?那样的话会不会不安全啊?

解决方案

cookie组成:
aes(user_id,user_salt)
aes是加密(openssl内置支持),服务器解密后根据user_id查询用户的user_salt,如果数据库中用户的user_salt跟cookie中的user_salt一样,则是一个合法有效的cookie.因为攻击者不知道aes加密密钥key,也不知道用户的随机盐user_salt,所以无法伪造这种验证身份的cookie.

其中user_salt是一个用于保护密码的随机值,如:
base64_encode(openssl_random_pseudo_bytes(32));
长度为44个字符.
user_salt这个随机值在用户注册成功时,会修改密码时生成.

这篇关于javascript - 求问网站的保持登入是怎么实现的啊?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！