什么样的信息保存为将来的帐户认证饼干吗？

Question

所以我建立我的第一次的网站用户帐户。我应该存储哪些数据到cookie，使用户能够证明他们实际上是用户？现在，当我在用户登录保存用户ID，用户名，随机生成的会话ID和为今后的认证哈希和盐渍的密码。我不知道我是否应该做的最后一部分...

在任何表明它我会用的OpenID，但我的目标受众不能保证是技术娴熟，我认为它只是混淆。我不希望有兴趣的用户去竞争，所以我保持事物的“常规”成为可能。我想我可以同时提供现场报名和OpenID ...

Answer 1

您实际上只需要存储会话ID：只要会话数据被保持，任何其他数据可被存储在服务器侧对所述会话。在cookie中保持的个人数据是不是一个好主意，因为它们被存储并在明文形式传输。

看一看到会话劫持如果你担心的人抓在别人的会话使用这种方法......虽然，与cookies通常是有点难以做到（这种情况发生的最常见的情况是，围绕传递会话ID的GET请求的网站上）。