安全web登录体系结构？

我在一个网站上实现了登录（没有使用asp.net默认设置）。当用户登录时，我将其ip保存在数据库中。如果他在X分钟内没有做任何事情，他的ip就会被删除。每当用户试图进入受限制的页面时，我会检查其ip是否在db上。如果是这样，他可以继续。

---

问题是，如果登录的用户在wifi网络或任何其他共享网络上，所有其他用户都将拥有相同的ip，这并不好。我怎样才能克服这个问题？cookies是最佳答案吗？

用户如何登录？用户名/密码？我假设密码存储为数据库中的一个咸哈希，那么为什么不将带有用户用户名和哈希密码的cookie传递回去呢？每当他们尝试访问受限区域时，请检查您的数据库中的用户名/密码哈希。确保在对照数据库检查cookie值之前对其进行sanatize，以防止注入。或者，根据使用的语言，可以使用会话跟踪

根据标签，我假设您正在使用WebLogic Server作为解决方案，尽管您对ASP.net的评论让我感到奇怪。（尽管没有为问题设置ASP标记？）

简单的回答是，您让生活变得比需要的更艰难-如果我正确理解您的问题-出于安全原因，您希望空闲用户的会话在某段时间不活动后超时-然后您可以使用会话超时参数通过应用程序配置来做到这一点：

只要有可能，当涉及到安全性时，我总是倾向于避免使用我自己的解决方案。只是不够聪明，不能相信它。：-）

---

如果我的理解不正确，请道歉。

我认为您不应该将登录凭据基于IP。他们很容易被欺骗，更不用说你提到的局域网问题了。使用cookies或会话。很抱歉，我尝试标记weblogin，我看到它是weblogic并更改了它。也许我没有保存它。我没有标记asp.net，因为这是一个想法问题，与语言无关。而且只依赖cookies？或者结合我的IP方法？；我用它加上sessionid