Какую информацию сохранить в файле cookie для будущей аутентификации учетной записи?
https://stackoverflow.com/questions/1071671
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Итак, я создаю свой первый веб-сайт с учетными записями пользователей.Какие данные я должен сохранить в файле cookie, чтобы пользователь мог доказать, что он действительно является этим пользователем?Прямо сейчас, когда пользователь входит в систему, я сохраняю идентификатор пользователя, имя пользователя, случайно сгенерированный идентификатор сеанса и хешированный и соленый пароль для будущей аутентификации.Я не уверен, стоит ли мне делать последнюю часть...
Прежде чем кто-либо предложит это, я бы использовал OpenID, но моя целевая аудитория не гарантированно разбирается в технологиях, и я думаю, что это только запутает их.Я не хочу, чтобы заинтересованные пользователи ходили на соревнования, поэтому я стараюсь делать все как можно более «обычным».Полагаю, я мог бы предложить и регистрацию на сайте, И OpenID...
Решение
Вам действительно нужно сохранить только идентификатор сеанса:Пока данные сеанса сохраняются, любые другие данные могут храниться на стороне сервера относительно сеанса.Хранение личных данных в файлах cookie не является хорошей идеей, поскольку они хранятся и передаются в виде открытого текста.
Взгляните на перехват сеанса если вы беспокоитесь о том, что люди перехватят чужой сеанс, используя этот метод...Хотя с файлами cookie это обычно сделать немного сложнее (наиболее распространенный случай этого происходит на сайтах, которые передают идентификатор сеанса как часть запроса GET).
