هل تغيير مصادقة رمز ملف تعريف الارتباط مصادقة المستخدم ؟ إذا كان الأمر كذلك ، كيف في كثير من الأحيان ؟
https://stackoverflow.com/questions/487876
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
عندما يقوم المستخدم بتسجيل الدخول ، أعطي لهم الكعكة اسمه المصادقة مع قيمة GUID التي تنتهي في 2 أسابيع.أنا حفظ تجزئته GUID في قاعدة البيانات مع الملح من userID ثم تاريخ انتهاء صلاحيته.عند وصول مستخدم إلى الموقع ، تحقق من الكعكة و سجل لهم في ما إذا كان يتطابق ولم تنته في قاعدة البيانات.
في مرحلة ما قبل 2 أسابيع كنت تفكر في تحديث الصف وزيادة تاريخ الانتهاء.كيف وغالبا ما كنت تفعل هذا ؟ كل صفحة طلب يبدو في كثير من الأحيان منذ أن كنت سوف تكون باستمرار كتابة الجدول المستخدم.
أنا أيضا كنت تفكر في تغيير مصادقة قيمة ملف تعريف الارتباط في هذا الوقت.الجانب السلبي من هذا هو أنك لا يمكن مصادقة على أجهزة كمبيوتر متعددة / المتصفحات.
لا يمكن تحقيق هذا عن طريق الكوكيز ، حتى كتابة هذا يحدث فقط مرة واحدة في كل دورة.عندما يصل المستخدم إلى صفحة أنا التحقق من ملف تعريف ارتباط جلسة اسمه مصادقة.إذا لم يكن هناك لا تعطي التفويض قيمة ملف تعريف الارتباط والتوثيق الكوكيز و عثرة أوقات انتهاء الصلاحية في DB و المصادقة الكعكة.إذا أنا فقط التحقق من مصادقة الكعكة.
يبدو ستاكوفيرفلوو لم يغير مصادقة تعريف الارتباط حتى يمكنك تسجيل الخروج وتسجيل الدخول مرة أخرى.هذا ويبدو أن تجعل أكثر عرضة اختطاف الجلسة - إذا كنت تحصل على مصادقة كوكي, لديك حق الوصول إلى حساب المستخدمين حتى الدخول مرة أخرى.منذ مصادقة كوكي لن تنتهي أو تغيير المستخدم لن يتم تسجيل الخروج من قبلك تسجيل الدخول.
- هل تسمح للمستخدم تسجيل الدخول من مواقع متعددة/المستعرضات?
- إذا لم يكن كذلك ، كيف وغالبا ما كنت تغيير المصادقة الرموز ؟
المحلول 2
إدارة الموارد البشرية لقد وجدت كل الإجابات هنا.يبدو أنني بحاجة إلى الانضمام إلى table >.<.
http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
نصائح أخرى
ذلك يعتمد على مستوى من الأمن الأماكن التي عملت فيها أنها عادة تكون عالية نوعا ما.
- لا نحن لا نسمح الناس إلى الدخول من متصفحات متعددة.
- نحن تجعل الناس تسجيل الدخول مرة أخرى بعد 20 دقيقة من الخمول.اعتمادا على مدى دقة كنت تريد أن تكون على توقيت شخص يحدد كيف في كثير من الأحيان كنت ترغب في تحديث رمزية.لقد تم الأماكن انتهاء الوقت يتم تحديثها في كل مرة يقوم المستخدم بإرسال بعد العودة إلى النظام.
