php – 什么应该存储在一个cookie的登录系统?

前端之家收集整理的这篇文章主要介绍了php – 什么应该存储在一个cookie的登录系统?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
存储在cookie中以保持持久登录状态的最佳方法是什么?

我已经看到许多网站(和初学者教程!),只是在cookie中存储一些类似的validUser = 1.显然我可以欺骗,网站会认为我是一个有效的用户.

如果用户名存储在cookie中,我可以通过在我的请求中发送带有他/她的用户名的cookie来伪装成任何用户.

因此,如果您将用户名密码存储在cookie中,那么我必须知道登录用户名和密码.有效的用户自动登录的 – 就像是通过浏览器保存密码.每次浏览器自动将凭据输入框中,而不必每次都会向页面发送请求.

但这还是个坏主意吗?存储纯文本密码不是一个很好的想法,但是这是在登录时在POST数据中发送的方式.此外,它可以存储散列.但我仍然不舒服.

也许Cookie不应该用于存储任何除会话ID之外的任何内容,用户数据也存储在服务器本身.这可能是一个更安全的位置,假定服务器不是共享的.

看一些开源软件,如论坛软件,他们使用一个更复杂的系统,但是我无法清楚它在做什么,从撇号.

什么是标准的“最佳实践”?

猜你在找的PHP相关文章