如何安全实现“记住我”功能

Posted 炎泽

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何安全实现“记住我”功能相关的知识,希望对你有一定的参考价值。

1.利用token

原理:每次登录时为用户生成一个token并存放于cookie中,下次登录时,验证token是否正确并自动登录

这样每次生成时失效时间不同,token也不同

缺点: 1.安全问题,当cookie被窃取(可以为cookie设置http-only,防范XSS、csrf等攻击)时,任何人都能在失效前登录

 

2.安全的token生成方法

 需要两个字段:

token:随机生成的字符串

series: 登录序列号,仅仅当用户重新输入用户名密码登录时更新在记住我状态下自动登录时只有token更新

 

a.用户在同一浏览器下

1.用户输入用户名密码登录 sesies= seriesA token= tokenA

2.用户在token过期时间内自动登录 series= seriesA token= tokenB

3.用户在token过期后或重新登录 series= seriesC token= tokenC

 

b.用户在不同浏览器下登录

1.用户在A浏览器内输入用户名密码登录 sesies= seriesA token= tokenA

2.用户在B浏览器内输入用户名密码登录 series= seriesB token= tokenB

 

c.用户信息被盗

1.用户输入用户名密码登录 sesies= seriesA token= tokenA

2.用户信息被盗,黑客获取series和token登录 series= seriesA token= tokenB

3.用户在token过期时间内登录,使用本地cookie内的seriesA tokenA,服务器接受到请求后发现series未变,token变了!

发送被盗警告。

以上是关于如何安全实现“记住我”功能的主要内容,如果未能解决你的问题,请参考以下文章

如何在 PHP 中安全地实现“记住我”按钮(持久登录)

如何实施安全的“记住我”

如何实现记住我的功能?

如何使用 PHP 创建一个安全的“记住我”系统?

AngularJS + Spring 安全记住我功能

Cookie实现记住密码自动登录功能