给予表单的身份验证中,验证信息是保存在Cookie中的,或是保存在Session中的。
如果用户通过某些手段获得了这个Cookie内容或是获得了这个SessionID,那么该用户岂不可以伪造成了该会话用户,而且也通过了身份验证。
也就是说如果A用户登陆了,通过了身份验证。那么保存在客户端的Cookie如果被B用户获得了。或者SessionID被B用户获得了。那么B用户岂不成了系统中的已授权的A用户?如何避免这点,请大家讨论,谢谢!
如果用户通过某些手段获得了这个Cookie内容或是获得了这个SessionID,那么该用户岂不可以伪造成了该会话用户,而且也通过了身份验证。
也就是说如果A用户登陆了,通过了身份验证。那么保存在客户端的Cookie如果被B用户获得了。或者SessionID被B用户获得了。那么B用户岂不成了系统中的已授权的A用户?如何避免这点,请大家讨论,谢谢!
解决方案 »
- 关于Jquery的插件问题
- 关于母版页与表单提交的问题
- Dataset.table().select
- 请教将多个DataView合并到一个DataSet上?????????
- DataGrid中控制列宽的难题,都要急死了!
- 我的IIS是装起的 但打开Internet服务器时 报错提示 “连接错误 数据无效 你想将来尝试此连接吗?”SOS Thank you !
- 请各位大哥帮我看看这个错误,谢谢!
- --- jQuery.getJSON 访问webservice的问题,在线等 ---
- 日期控件为什么点了后变大变小啊
- 我是一个初学者,问一个问题,希望大虾们帮助。
- 关于在web页面中,按时间自动触发一个事件的问题?
- label.databind()有何作用?
cookie就不好说了
这种方式有没有一定的效果?
我想如果用户得到密码的MD5字符串,似乎同样可以用来登陆。因为他并不需要知道密码原文,用密码的MD5字符串提交,也是一样的呀。
-----------------------------------------------------------------------
每一个会话的SessionID都是不同的。不存在你说的问题。也正因为如此,所以才应该用SessionID,而千万不要把用户的登录名保存在Cookie里作为标识,那样作在设计上就是为“永久盗版”提供了坚实基础了。
是怎么做的?是不是生成很多的临时文件?那么这些临时文件多了如何清理呢?请说说你的实现方法,万分感谢!
-----------------------------------------------------------------------
每一个会话的SessionID都是不同的。不存在你说的问题。也正因为如此,所以才应该用SessionID,而千万不要把用户的登录名保存在Cookie里作为标识,那样作在设计上就是为“永久盗版”提供了坚实基础了。
========================================================================
如果要实现永久登陆,你怎么做?如果不保存用户名和密码。只保存SessionID吗?这样如果Session超时,已经从服务器删除了,那么你保存的Cookie中的SessionID也不是没有用了吗?也就没法自动登陆了哟?谢谢指点!如果分不够可以提出,我可以另外加分,谢谢!
--------------------------------------------------------------------------
“永久登录”与“判断SessionID并踢出IP改变的用户”并不矛盾,并不会因为提出错误IP的用户就会妨碍“永久登录”的实现。因为每一次登录,即使是“永久登录”,会话的SessionID也是不同的。
--------------------------------------------------------------------------
不是很理解!
如果要实现永久登陆,你怎么做?如果不保存用户名和密码。只保存SessionID吗?这样如果Session超时,已经从服务器删除了,那么你保存的Cookie中的SessionID也不是没有用了吗?也就没法自动登陆了哟?谢谢指点!比如:用户选择了永久登陆,那么如果用户几天后再来访问,理应自动登陆。但是如果仅仅保存了SessionID的话,这是SessionID指定的Session肯定早就删除了,那么如何才能知道这个用户是登陆了的呢?
当然如果保存用户名和密码就可以利用用户名和密码还恢复Session
-----------------------------------------------------------------------------
这样的话如果用户用的是ADSL上网,如果掉线了,然后又连上了,IP发生了改变。这样也就会变成未登陆用户了哟?