Qué información se debe guardar en una cookie para el futuro de autenticación de cuenta?
https://stackoverflow.com/questions/1071671
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Así que estoy construyendo mi primer sitio web con cuentas de usuario.¿Qué datos debo almacenar la cookie para que el usuario pueda probar que están en el hecho de que el usuario?Ahora cuando el usuario inicia sesión en la que me guarde el ID de usuario, el nombre de usuario, una generados aleatoriamente IDENTIFICADOR de sesión y el hash y salado contraseña para el futuro de autenticación.No estoy seguro de si debería estar haciendo la última parte...
Antes de que alguien sugiere que quisiera usar OpenID, pero mi público objetivo no está garantizado para ser conocedores de la tecnología y creo que se confunden.No quiero que los usuarios interesados van a la competencia con el fin de que estoy manteniendo las cosas como "regular" como sea posible.Supongo que me podría ofrecer tanto el sitio de registro Y OpenID...
Solución
realmente sólo necesita almacenar el identificador de sesión: del lado del servidor, siempre y cuando se mantiene los datos de sesión, otros datos pueden ser almacenados en contra de la sesión. Mantener los datos personales en las cookies no es una buena idea, ya que se almacenan y transmiten en texto plano.
Tener una mirada en secuestro de sesión si usted está preocupado acerca de las personas que asen a otra persona de la sesión utilizando este método ... Aunque, con galletas por lo general es un poco más difícil de hacer (el caso más común de que esto ocurra es en los sitios que pasan el ID de sesión en base a como parte de la solicitud GET).
