Session 关闭浏览器后维护会话
如何实现安全地维护会话。假设只有登录页面使用SSL。所以用户输入他的用户名密码,http服务器验证它是否在数据库中,现在怎么办 它会放些饼干吗?如果是这样,那么cookie应该设置为什么以保持安全性(加密,什么样的加密)?寻找低层次的详细答案。我听说有各种各样的饼干劫持问题。如果我只在登录时使用SSL,但此后不使用SSL,cookie是否会受到攻击Session 关闭浏览器后维护会话,session,session-state,Session,Session State,如何实现安全地维护会话。假设只有登录页面使用SSL。所以用户输入他的用户名密码,http服务器验证它是否在数据库中,现在怎么办 它会放些饼干吗?如果是这样,那么cookie应该设置为什么以保持安全性(加密,什么样的加密)?寻找低层次的详细答案。我听说有各种各样的饼干劫持问题。如果我只在登录时使用SSL,但此后不使用SSL,cookie是否会受到攻击 然后,在浏览器关闭且用户返回后,cookie如何标识用户名。如何在cookie不被窃取的情况下安全地执行此操作?如果您的连接未始终加密,您肯定会让客
然后,在浏览器关闭且用户返回后,cookie如何标识用户名。如何在cookie不被窃取的情况下安全地执行此操作?如果您的连接未始终加密,您肯定会让客户端遭受会话盗窃 HTTP是一种无状态协议,因此伪造有状态交互的唯一方法是客户端和服务器在每个事务中发送会话标识符。如果没有保护,它很容易被盗。由于会话标识符是开放会话期间唯一的身份验证令牌,因此这是灾难性的
制作“记住我”功能的通常方法是设置一个cookie,其生存期不限于浏览器的程序生存期(即通过设置明确的过期日期),并在cookie中存储一些唯一的数据,这些数据与数据库中的一些记住数据(可能包括IP)相匹配。但这并不能免除您对所有通信进行加密的需要 如果您的连接未始终进行加密,您肯定会使您的客户端暴露在会话盗窃中 HTTP是一种无状态协议,因此伪造有状态交互的唯一方法是客户端和服务器在每个事务中发送会话标识符。如果没有保护,它很容易被盗。由于会话标识符是开放会话期间唯一的身份验证令牌,因此这是灾难性的
制作“记住我”功能的通常方法是设置一个cookie,其生存期不限于浏览器的程序生存期(即通过设置明确的过期日期),并在cookie中存储一些唯一的数据,这些数据与数据库中的一些记住数据(可能包括IP)相匹配。但这并不能免除您对所有通信进行加密的需要 好吧,假设我总是使用SSL。那么cookie数据应该是什么呢?是否有某种我在网上找不到的事实上的标准解决方案?因此,SSL有助于解决外人劫持cookie的问题。如何解决防止用户冒充他人的问题。@用户:您现在谈论的是“记住我”功能,还是通常的密码验证登录?如果你搜索“记住我”,我肯定网上有很多教程。基本上,你会在数据库和客户端的cookie中存储一些不可用的令牌,这很难模拟。好的,我发现这个关于持久登录cookie的网站是一个后续问题。对于非持久性登录,在用户关闭浏览器之前保持会话状态的更简单解决方案是什么?@user:在PHP中,您无需执行任何操作,
session\u startsession\u start