Welche Informationen zu einem Cookie für zukünftige Kontoauthentifizierung zu retten?
https://stackoverflow.com/questions/1071671
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Also ich meine erste Website mit Benutzerkonten zu bauen. Welche Daten sollte ich speichern, um den Cookie so kann der Benutzer beweisen, dass sie in der Tat, dass Benutzer? Gerade jetzt, wenn sich der Benutzer anmeldet ich die Benutzer-ID speichern, wird der Benutzername, eine zufällig generierte Session-ID und die gehasht und gesalzenen Passwort für die spätere Authentifizierung. Ich bin mir nicht sicher, ob ich den letzten Teil tun sollte ...
Bevor jemand es schlägt vor, würde ich OpenID aber meine Zielgruppe garantiert nicht technisch versierte sein, und ich denke, es würde sich nur verwirren. Ich möchte nicht, interessierte Nutzer zur Konkurrenz gehen so dass ich Dinge wie „reguläre“ wie möglich zu halten. Ich glaube, ich könnte sowohl Website-Registrierung bieten UND OpenID ...
Lösung
Sie müssen wirklich nur die Session-ID speichern: solange die Sitzungsdaten gehalten wird, können beliebige andere Datenserver-Seite gegen die Sitzung gespeichert werden. personenbezogenen Daten in Cookies zu halten, ist keine gute Idee, da sie unverschlüsselt gespeichert und übertragen werden.
Haben Sie einen Blick in Session Hijacking , wenn Sie über die Menschen besorgt sind, greifen auf Sitzung jemand anderes mit dieser Methode ... Obwohl, mit Keksen ist es in der Regel ein wenig schwieriger zu tun (die häufigste Fall, dass dies geschieht ist auf Websites, die die Session-ID um im Rahmen der GET-Anfrage übergeben).
