如何安全实现“记住我”功能

Posted 2020-10-12 炎泽

1.利用token

原理：每次登录时为用户生成一个token并存放于cookie中，下次登录时，验证token是否正确并自动登录

这样每次生成时失效时间不同，token也不同

缺点: 1.安全问题，当cookie被窃取（可以为cookie设置http-only，防范XSS、csrf等攻击）时，任何人都能在失效前登录

 

2.安全的token生成方法

 需要两个字段:

token:随机生成的字符串

series: 登录序列号，仅仅当用户重新输入用户名密码登录时更新，在记住我状态下自动登录时只有token更新

 

a.用户在同一浏览器下

1.用户输入用户名密码登录 sesies= seriesA token= tokenA

2.用户在token过期时间内自动登录 series= seriesA token= tokenB

3.用户在token过期后或重新登录 series= seriesC token= tokenC

 

b.用户在不同浏览器下登录

1.用户在A浏览器内输入用户名密码登录 sesies= seriesA token= tokenA

2.用户在B浏览器内输入用户名密码登录 series= seriesB token= tokenB

 

c.用户信息被盗

1.用户输入用户名密码登录 sesies= seriesA token= tokenA

2.用户信息被盗，黑客获取series和token登录 series= seriesA token= tokenB

3.用户在token过期时间内登录，使用本地cookie内的seriesA tokenA，服务器接受到请求后发现series未变，token变了！

发送被盗警告。