향후 계정 인증을 위해 쿠키에 저장해야 할 정보는 무엇입니까?

Question

그래서 저는 사용자 계정으로 첫 번째 웹 사이트를 구축하고 있습니다. 사용자가 실제로 그 사용자임을 증명할 수 있도록 어떤 데이터를 쿠키에 저장해야합니까? 지금 사용자가 로그인하면 사용자 ID, 사용자 이름, 무작위로 생성 된 세션 ID 및 향후 인증을 위해 해시 및 소금에 절인 암호를 저장합니다. 마지막 부분을 해야하는지 잘 모르겠습니다 ...

누군가가 그것을 제안하기 전에 나는 OpenID를 사용 하겠지만 내 대상 청중은 기술에 정통한 것이 아니며 혼란 스러울 것이라고 생각합니다. 관심있는 사용자가 경쟁에 가기를 원하지 않으므로 가능한 한 "정규"를 유지하고 있습니다. 사이트 등록과 OpenID를 모두 제공 할 수 있다고 생각합니다 ...

Answer 1

세션 ID 만 저장하면됩니다. 세션 데이터가 유지되는 한 다른 데이터는 세션에 대해 서버 측면으로 저장 될 수 있습니다. 쿠키에 개인 데이터를 유지하는 것은 일반 텍스트로 저장되고 전송되기 때문에 좋은 생각이 아닙니다.

조사하십시오 세션 납치 이 방법을 사용하여 다른 사람의 세션을 잡는 사람들이 걱정된다면 ... 쿠키를 사용하면 일반적으로 조금 더 어렵습니다 (이런 일이 발생하는 가장 일반적인 경우는 세션 ID를 통과하는 사이트에 있습니다. 요구).