要实现的功能:
用户输入一次账号密码后,第二天再上网站,打开网站就自动登陆,无须再输入一直都是用session的,但是关掉网页后,session就无效了,再次打开,就要重新输入账号密码
后来用cookies记录了用户的账号密码,用户打开网页的时候做个判断
“cookies中是否有账号密码,有的话进行数据库验证,密码通过,则自动登陆”但是看到很多人说,cookies记录用户名密码是很不安全的。
自己大致想了下安全隐患,觉得是两方面
1.cookies被他人拿到,就可以得到你的账号密码,但是这个可以让用户选择的,用户选择免登陆服务的时候,就告之有安全风险。。
2.由于跟页面手动登陆相比,少了验证码这个环节,就可以通过其他程序,用cookies跑密码,进行账号密码的暴力猜解。
想问下:
1、具体不安全指的是什么
2、然后如何安全的实现免登陆?
用户输入一次账号密码后,第二天再上网站,打开网站就自动登陆,无须再输入一直都是用session的,但是关掉网页后,session就无效了,再次打开,就要重新输入账号密码
后来用cookies记录了用户的账号密码,用户打开网页的时候做个判断
“cookies中是否有账号密码,有的话进行数据库验证,密码通过,则自动登陆”但是看到很多人说,cookies记录用户名密码是很不安全的。
自己大致想了下安全隐患,觉得是两方面
1.cookies被他人拿到,就可以得到你的账号密码,但是这个可以让用户选择的,用户选择免登陆服务的时候,就告之有安全风险。。
2.由于跟页面手动登陆相比,少了验证码这个环节,就可以通过其他程序,用cookies跑密码,进行账号密码的暴力猜解。
想问下:
1、具体不安全指的是什么
2、然后如何安全的实现免登陆?
2.把账号与密码加密后存放在cookie中。
2、对于密码是否加密其实没有什么用处的,就和我可以看见你的数据库,里面是否加密对于我来说就不重要了。
2.关键信息存在session里,比如用户权限等级之类
安全隐患是
1.cookies中含有密码信息,虽然加密了,但是仍然存在被猜解的几率,不过根据加密算法的强壮度,几率会变的很小
2.虽然加密,但是用伪造cookies依旧可以获得其他用户权限,关键是cookies不要被他人窃取。这点上,要提醒用户,“使用免登陆功能有被窃取账号的风险,请网吧、公共电脑用户慎选该选项”
最后,还是要在系统上做设计,假如对安全性要求高,尽量不要采用免登陆结贴去了