Que informação para salvar a um cookie de autenticação de conta futuro?
https://stackoverflow.com/questions/1071671
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Então, eu estou construindo o meu primeiro site nunca com contas de usuário. Que dados devo guardar para o cookie que o usuário possa provar que eles são de fato esse usuário? Agora, quando o usuário faz login Eu salvar o ID de usuário, o nome de usuário, um ID de sessão gerado aleatoriamente eo hash e senha salgada para autenticação futuro. Eu não tenho certeza se eu deveria estar fazendo a última parte ...
Antes que alguém sugere que eu iria usar OpenID, mas o meu público-alvo não é garantido para ser tech-savvy e eu acho que seria apenas confundi-los. Eu não quero usuários interessados ??indo para a competição assim que eu estou mantendo as coisas como "regular" quanto possível. Acho que eu poderia oferecer tanto o registo no site E OpenID ...
Solução
Você realmente só precisa armazenar o ID da sessão: do lado do servidor, desde que os dados da sessão é mantido, quaisquer outros dados podem ser armazenados contra a sessão. Manter dados pessoais em cookies não é uma boa ideia, uma vez que são armazenados e transmitidos em texto simples.
Tenha um olhar em sessão hijacking se você está preocupado com as pessoas agarrando alguém da sessão usando este método ... Embora, com biscoitos geralmente é um pouco mais difícil de fazer (o caso mais comum de isso acontecer é em sites que passam a identificação da sessão em torno de como parte do pedido GET).
