现在很多网站都有记住登录状态 的功能。比如gmail,豆瓣等。
现在让我们通过豆瓣来看看如何实现remember me 。
下图为豆瓣的登录页面 :
1. 不选择“记住我”
我们可以得到login页面的response header里的Set-cookie值为。
ue="xxxxx@gmail.com"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT dbcl2="1123439:yhsdfd1yvQ"; path=/; domain=.douban.com
其中的ue是用户名,dbcl2为类似于sessionId的用户identification。
可以看出,这是标准的form-based认证方式。
2. 选择“记住我”
得到的response为:
ue="xxxxxx@gmail.com"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT dbcl2="1123439:vY9ssdff0"; path=/; domain=.douban.com; expires=Wed, 25 Mar 2009 07:29:59 GMT
跟前者的唯一区别是在dbcl2后加了一个过期期限值,刚好是一个月。
我们已经可以看出,其实本质上,就是在服务器端记住session,并且在客户端记住cookie一个月。在一个月内,都使用相同的cookie去访问服务端。
验证一下,重新访问,果然使用的是同一个cbdl2值。
问题
显而易见,这里最大的问题在于安全问题。
假如cookie被盗,则黑客可以使用这个dbcl2值登录。
那怎么解决呢?很多站点会对用此种方式登录的用户行为进行限制,他们只能执行一般如查看信息等操作,而不能执行如修改密码等安全级别较高的操作。如果用户要修改密码,将被要求重新登录。
当然,现在很多站点在修改密码时都需要输入旧密码,相当于做了一层类似的保护。
扫一扫
2324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
