Security 永久会话/2次密码是个好主意吗?
因此,我们的想法是为每个用户存储另一个“密码”或身份验证值,当通过cookies进行身份验证时,您只需比较这些值。这样一来,如果cookie不知何故被盗,则与真实密码无关Security 永久会话/2次密码是个好主意吗?,security,Security,因此,我们的想法是为每个用户存储另一个“密码”或身份验证值,当通过cookies进行身份验证时,您只需比较这些值。这样一来,如果cookie不知何故被盗,则与真实密码无关 对于重要操作,如更改密码等,用户需要提供其密码及其验证密码与原始密码(盐渍、加密等)。IMO没有理由将密码与会话/自动登录cookie以任何方式关联。所以是的,我会把它们完全分开。我通常在cookie中使用一个随机值,并将服务器端数据与之关联。这也允许我使服务器端的任何cookie无效。您的问题不是很清楚,但不要在cookie
对于重要操作,如更改密码等,用户需要提供其密码及其验证密码与原始密码(盐渍、加密等)。IMO没有理由将密码与会话/自动登录cookie以任何方式关联。所以是的,我会把它们完全分开。我通常在cookie中使用一个随机值,并将服务器端数据与之关联。这也允许我使服务器端的任何cookie无效。您的问题不是很清楚,但不要在cookie中输入密码 这样你只需要一个密码 使用“永久”cookie的一个解决方案是对会话设置时间限制,如果达到该限制,则需要密码来执行重要操作(即访问您的帐户、查看您的电子邮件、更改密码等) 正如CodesInChaos所提到的,cookie只是一个随机数。但是,您必须确保该数字是由一个好的随机生成器生成的(例如,一些OpenSSL函数说它具有非常好的熵)