自动登录cookie密码加密实际作用?:报错
感觉好处只有不会让人知道实际的密码,但是防止不了被盗号。伪造cookie还是能直接登录的。
写回答
-
如果有一个加密key的话,你不知道这个加密key和加密方法,你是无法伪造的,而且加密密码这种用法我只在奇葩的dz里看到过,不知道还有其他程序也是这样加密的么######回复 @Burning_BL : 验证user_agent,ip所在地之类的######回复 @我不叫大脸猫 : 恩,看到说任何私密数据不论加不加密都不该存cookie.但是这样的话如何实现自动登录呢?服务器端再怎么样验证也是基于cookie里的值吧,伪造了不是一样能通过?######回复 @Burning_BL : 所以如果网站是只验证cookie的有效性判断用户的登录状态那就杯具了,如果还有别的机制判断用户登录状态那就不用担心######回复 @我不叫大脸猫 : 我觉得看到cookie里的密码和直接获取cookie不是一样的吗?比如恶意程序直接读取xx网站的自动登录cookie发送到黑客那里,黑客只要把cookie内容复制到自己的cookie里,不是能登录吗?######回复 @Burning_BL : 前提是你能轻松获得别人的cookie,而且人人只验证了cookie的有效性######可以远程获取其他用户的cookie的 ######可能会被用来xss攻击,但是如果你把cookies的关键信息用你的算法加密了,神也没办法啊。######回复 @九月 : 就是,只是不能正常的登陆,但是能伪造自动登陆的。######加密没用的 一样的登录######
我的个人建议是不要设计“自动登录”等等
除非你能hold住所有的XSS/CSRF
Cookies里面只有Session就够了
######感觉只要用cookie来实现,就cookie本身再怎么设置都不能防止被盗用的,只能像1L说的user-agent和IP段什么的。但是这也不是cookie加密的原因啊,只是防止被盗用吧。######自动登录貌似是个网站都有吧,淘宝也有吧。有session是什么意思呢?自动登陆时session是不存在的吧。不考虑cookie代替session的情况,一般都是先检查session是否存在,存在立刻进入主页,否则检查自动登陆cookie,如果有效就自动登陆吧。######如果真要做
我的建议是 如果是自动登录就降权
例如:修改用户信息 密码 就必须重新登陆
######引用来自“九月”的答案
如果真要做
我的建议是 如果是自动登录就降权
例如:修改用户信息 密码 就必须重新登陆
good idea######引用来自“汉唐”的答案
引用来自“九月”的答案
如果真要做
我的建议是 如果是自动登录就降权
例如:修改用户信息 密码 就必须重新登陆
good idea做敏感操作的时候,重新验证用户。######cookie中还可以加入登录的IP,如果是同一个IP直接自动登录,如果IP跟上次登录的不一样,那么就不允许自动登录。
######引用来自“汉唐”的答案
引用来自“汉唐”的答案
引用来自“九月”的答案
如果真要做
我的建议是 如果是自动登录就降权
例如:修改用户信息 密码 就必须重新登陆
good idea做敏感操作的时候,重新验证用户。that's a good idea######引用来自“heartdong”的答案
引用来自“汉唐”的答案
引用来自“汉唐”的答案
引用来自“九月”的答案
如果真要做
我的建议是 如果是自动登录就降权
例如:修改用户信息 密码 就必须重新登陆
good idea做敏感操作的时候,重新验证用户。that's a good idea重新登录倒没必要,重要操作输入原始密码就可以了。2020-06-08 14:41:03赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
