Security web应用程序的自动登录
我们希望使用AutoLogin功能允许用户使用链接直接登录到我们的Web应用程序。实现这一目标的最佳方式是什么 我们有以下的想法 1) 在cookie中存储用户凭据(用户名/密码)。发送cookie进行身份验证 e、 g.http://www.mysite.com/AutoLogin(此处用户名/密码将在cookie中传递) 或在链接URL中传递用户凭据 http://www.mysite.com/AutoLogin?userid=&password= 2) 生成randon令牌并将用户随机令牌和用户IP存储在服务器端数据库中 当用户使用链接登录时,验证服务器上的令牌和用户IP e、 g http://www.mysite.com/AutoLogin?令牌= 第一种方法的问题是,如果黑客将链接/cookie从用户机器复制到另一台他可以登录的机器上 第二种方法的问题是,在代理之后,同一组织的所有用户的用户ip都是相同的Security web应用程序的自动登录,security,autologin,Security,Autologin,我们希望使用AutoLogin功能允许用户使用链接直接登录到我们的Web应用程序。实现这一目标的最佳方式是什么 我们有以下的想法 1) 在cookie中存储用户凭据(用户名/密码)。发送cookie进行身份验证 e、 g.http://www.mysite.com/AutoLogin(此处用户名/密码将在cookie中传递) 或在链接URL中传递用户凭据 http://www.mysite.com/AutoLogin?userid=&password= 2) 生成randon令牌并将用户随机令牌
从安全角度来看,从上面看哪一个更好?如果有比上面提到的更好的解决方案,请告诉我们。
从安全角度来看,从上面看哪一个更好?
两者都不好,但以明文形式存储密码是一种罪恶。请不要考虑它。
如果有比上述更好的解决方案,请告诉我们。
不要实现自动登录。它永远不会是安全的。唯一安全的“自动登录”是在正常登录后设置的cookie,当用户返回站点时进行验证。cookie应该在一段合理的时间后过期。您的第一种方法与此类似,但您没有解释他们的用户名和密码是如何存储在cookie中的。存储一系列至少包含以下内容的cookie,而不是以明文形式存储: