“Recordarme en este equipo” - ¿Cómo debe funcionar?
https://stackoverflow.com/questions/1074831
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
En cuanto a las cookies de Gmail es fácil ver lo que está almacenado en la "recuérdame" cookie. El nombre de usuario / una sola vez de acceso token. Podría ser implementado de manera diferente en los casos en que el nombre de usuario es secreta, también. Pero cualquiera que sea ... la cosa no es muy alta seguridad:. Robar la cookie y ya está listo para ir
Mi pregunta está en el lado funcional, sin embargo: ¿cuándo se limpie sus tokens de acceso? Si un usuario inicia sesión en sin clic en "recordarme" en otra máquina, en caso de que invalida sus tokens de acceso en todas las máquinas ? Estoy preguntando acerca de cómo esto se lleva a cabo tradicionalmente, y también la forma en que debe aplicarse.
Solución
Me regularmente usar 2 o 3 máquinas al mismo tiempo, y tienen "recordarme" en todos ellos. Si uno de ellos desconectados los otros que sería muy molesto, así que no lo recomendaría.
Tradicionalmente se utilizaría un tiempo de espera, la cookie expira después de un cierto período de tiempo (o cuando el usuario OUT).
Todo depende de su modelo de seguridad. Si usted está escribiendo una aplicación interna de la empresa en la que sólo alguna vez esperas un usuario como en una computadora entonces puede que desee tener limitaciones mayores de Gmail.
Además, tenga en cuenta la posibilidad de denegación de servicio -. Si una acción en una máquina puede obligar a otra máquina para ser inutilizable esto podría ser útil para evitar que un usuario legítimo de tomar el control de nuevo en ciertos escenarios
Otros consejos
Los artículos persistente Login Mejor Práctica y Mejora de sesión persistente Mejor Práctica son grandes referencias sobre la forma de poner en práctica este tipo de funcionalidad.
Ver también estas preguntas StackOverflow
Inicio de sesión desde otra máquina no debe invalidar el inicio de sesión asociado con una galleta en una máquina diferente. Sin embargo, si los usuarios logsout o "no? Entre aquí" esto debe borrar la cookie en el que está trabajando el usuario.
Por cierto robar una cookie puede hacerse duro, al insistir en https y haciendo si no fuera por secuencias de comandos.
Al añadir "; HttpOnly". Al cabo de poner su cookie de este hará que la cookie no está disponible para Javascript por ejemplo
HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
Server: Microsoft-IIS/7.0
Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly
X-AspNet-Version: 2.0.50727
Set-Cookie: user=t=bfabf0b1c1133a822; path=/; HttpOnly
X-Powered-By: ASP.NET
Date: Tue, 26 Aug 2008 10:51:08 GMT
Content-Length: 2838
Puede leer más sobre esto
El me recuerda galletas debe identificar la máquina también. Debe estar relacionado con la máquina porque hay lugares en los que desea ser recordado y otros lugares en los que no (casa vs trabajo).
Fecha de caducidad se establece generalmente a un período razonable (dos semanas) o después de que el usuario ha iniciado sesión explícitamente fuera de la máquina,
Lo que quiero hacer es vincular cada sesión a una dirección IP. Si el testigo de una sesión es enviado desde una dirección IP diferente del que tiene para eso, rechazarla.
Los tokens de acceso deben ser IP específica a fin de que no pueden ser fácilmente transferidos a través de máquinas.
También deben ser implementadas de una manera que permite a los usuarios ver qué máquinas tienen fichas activas sucesivamente.
Los sitios que optan por matar a una muestra una vez se crea uno nuevo en otro equipo - tomar la decisión de que sus usuarios no tendrán acceso a su servicio en varios equipos - o si lo hacen - que su uso justifica haciéndolos ingresar nuevamente.
La política que emplean realmente depende de los datos que se está llevando a cabo y las necesidades del usuario.
