javascript - 求问网站的保持登入是怎么实现的啊?
本文介绍了javascript - 求问网站的保持登入是怎么实现的啊?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
求问网站个页面间切换时的保持登入是怎么实现的啊?
如果是存储cookiede的话,是存储用户名和密码?那样的话会不会不安全啊?
解决方案
cookie组成:aes(user_id,user_salt)
aes是加密(openssl内置支持),服务器解密后根据user_id查询用户的user_salt,如果数据库中用户的user_salt跟cookie中的user_salt一样,则是一个合法有效的cookie.因为攻击者不知道aes加密密钥key,也不知道用户的随机盐user_salt,所以无法伪造这种验证身份的cookie.
其中user_salt是一个用于保护密码的随机值,如:base64_encode(openssl_random_pseudo_bytes(32));
长度为44个字符.
user_salt这个随机值在用户注册成功时,会修改密码时生成.
这篇关于javascript - 求问网站的保持登入是怎么实现的啊?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文