ما هي المعلومات التي حفظها في ملف تعريف الارتباط للمصادقة حساب المستقبل؟
-
21-08-2019 - |
سؤال
وهكذا أنا بناء أول موقع بلدي من أي وقت مضى مع حسابات المستخدمين. ما هي البيانات التي يجب أن تخزين لملفات تعريف الارتباط بحيث يمكن للمستخدم أن يثبت أنها في الواقع هذا المستخدم؟ الآن عند تسجيل دخول المستخدم في I حفظ هوية المستخدم، اسم المستخدم، معرف جلسة عمل بشكل عشوائي وكلمة المرور تجزئته والمملحة للمصادقة في المستقبل. لست متأكدا ما إذا كان ينبغي أن تقوم به الجزء الأخير ...
وقبل أي شخص يوحي ذلك أود أن استخدام رض لكن ليس مضمونا الجمهور المستهدف جهدي ليكون البارعين في امور التكنولوجيا وأعتقد أنه سيكون مجرد يربكهم. أنا لا أريد المستخدمين المهتمين الذهاب الى المنافسة لذلك أنا إبقاء الأمور على "العادية" وقت ممكن. أعتقد أنني يمكن أن نقدم كل التسجيل في الموقع و OpenID ...
المحلول
وكنت حقا بحاجة فقط لتخزين ID الدورة: طالما يتم الاحتفاظ البيانات الدورة، ويمكن تخزين أي بيانات أخرى من جانب الخادم ضد الدورة. حفظ البيانات الشخصية في ملفات تعريف الارتباط ليست فكرة جيدة، حيث يتم تخزينها ونقلها في نص عادي.
وإلقاء نظرة إلى جلسة اختطاف إذا كنت قلقا من الناس الاستيلاء على جلسة لشخص آخر باستخدام هذه الطريقة ... رغم ذلك، مع الكوكيز انها عادة ما تكون أصعب قليلا القيام به (الحالة الأكثر شيوعا حدوث ذلك هي على المواقع التي تمرير معرف جلسة حول كجزء من طلب GET).