首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > Web前端 >

护持登录

2012-08-22 
保持登录用户不是每次来你的网站都想输入账号密码,保持登录目前已经成了一个除了高安全级别之外系统的必备

保持登录
用户不是每次来你的网站都想输入账号密码,保持登录目前已经成了一个除了高安全级别之外系统的必备功能了,但是如何设计保持登录功能呢,最原始的做法是把用户名作为cookie存放到客户端,下次登录的时候读取便是,但是如果浏览器端的cookie被人复制走,也能登录,所以这种方法是很不安全的,参见了知名博客的这篇博客后,有点思路,但是具体部分还是臃肿,token、序列号、ip搞了一堆,安全吗?我不敢说,我只是认为事情没必要做的这么复杂,安全的网站如支付宝索性就不提供保持登录功能,对安全不是很重视的就认为从该IP登录的就是安全的。、

因此我在初次设计在输入账号密码登录时先生成一个独一无二的uuid,作为cookie存放到浏览器端,同时把IP、UUID和用户ID存放到服务器端,不同的IP上的cookie可以保存多份,这样用户在多设备上登录也能使用保持登录功能,同时保存的是cookie的产生时间和预先设定的cookie销毁时间,如果用户选择退出或者cookie到期后,则删除对应的cookie,对于cookie到期则选择每天定点判断有哪些cookie到期,因为cookie超期几个小时并不会产生十分严重的影响,故可以选择在凌晨执行定点任务删除cookie。

同时还要注意在修改密码、付款等安全操作时需要用户再次输入密码。

开发临时笔记

热点排行