验证用户是否登陆

问一个基础的问题,验证用户是否登陆
大家会把加密后的用户id、用户名和用户密码放在cookie里面吗?
谢谢!

解决方案 »

  1.   

    如果是是md5之类的,放在cookie里面也可。
      

  2.   

    一般不会把密码放在cookie里面,也没有那个必要不。用户名和ID是可以的,你可以通过复杂点的加密算法加上强点的密钥,然后多重加密,估计别也也很难解出来。定期的更换密钥可以提高网页的安全性
      

  3.   

    ..
    密码一般是MD5加密后 直接存入数据库了
    主要是验证user
    ...
    if (Request.Cookies["user"].Value != null)
      

  4.   

    HttpContext.User.Identity.IsAuthenticated为什么要把密码放cookie里?
      

  5.   

    4楼说的应该是在配置文件中设置的,msdn上有解释:http://msdn.microsoft.com/zh-cn/library/532aee0e%28v=VS.80%29.aspx
      

  6.   

    HttpContext.User.Identity.IsAuthenticated
    那位前辈知道原理呢??
      

  7.   

    把密码放cookie里,主要是考虑到有“记住密码”的选项,下次不需要再输入密码。当然要提醒用户,网吧不能用这个功能。
      

  8.   

    如果 ASP.NET 针对 Windows 身份验证进行配置,则 ASP.NET 依靠 IIS,利用配置好的身份验证模式对其客户端进行身份验证。IIS 通过检查特定应用程序的元数据库设置来确定其身份验证模式。成功验证某个用户的身份后,IIS 将代表经过身份验证的用户的 Windows 令牌传递给宿主 ASP.NET 的 ASP.NET 辅助进程 (w3wp.exe)。如果应用程序使用在 IIS 中配置的虚拟目录来支持匿名访问,该令牌代表匿名 Internet 用户帐户;否则,该令牌代表经过身份验证的用户
    http://www.cnblogs.com/chenqingwei/archive/2010/07/12/1775472.html
      

  9.   

    “把密码放cookie里,主要是考虑到有“记住密码”的选项,下次不需要再输入密码。”冒昧的问下,谁教你这么做的
      

  10.   

    不好意思,我一般不用windows身份验证。那你说“记住密码”该如何实现呢?
      

  11.   

    现在大多验证码域名问题都是用的无刷新验证,想存储到哪,看需求了。比如有的项目需要监视在线用户,需要存入数据库。只有记住密码有用cookie的存储的,这个是需要加密的。不过个人经验,现在很多用户关于权限的大多都是另外有数据库的。
      

  12.   

    用户名密码都不需要存放在客户端。算出一个key存在客户端,然后具体用什么方法验证登录有效。随便你。
      

  13.   

    如果这个key是要通过密码计算出来,那和密码存在客户端又有什么本质区别?
      

  14.   

    为什么要把密码放在cookie里
    就算是为了记住用户下次无需登录,也不必放密码啊
    大可以使用一个加密过的标志量一个token就可以了,密码这个东西实在不应该放cookie
      

  15.   

    我一般是这样写:如果是记住密码,将用户名保存到cookies,然后再将一个bool值保存到cookie,这个值是指是不是记住密码
    然后打开页面之后,如果cookie保存的bool值为真,则给密码框加一段密码(不正确的也行,123456也可以)
    查找的时候
    select count(*) from 表 where 用户名=客户端的用户名 and (密码=加密的密码 or 客户端的那个bool值)
    这个方法其实也不算太好的。容易cookie欺骗。
    不知道哪位大侠有更好的方法。
      

  16.   

    验证用户是否登录一般是将用户名放入session
      

  17.   

    我觉得保存等陆续状态一般的是session把!!!
      

  18.   


    你这个看似安全,其实最不安全。
    我完全可以掌握你的cookie的内容,并伪造一个别的用户名的cookie,这样我就可以用任意用户名登录你的系统了。