1.利用token
原理:每次登录时为用户生成一个token并存放于cookie中,下次登录时,验证token是否正确并自动登录
这样每次生成时失效时间不同,token也不同
缺点: 1.安全问题,当cookie被窃取(可以为cookie设置http-only,防范XSS、csrf等攻击)时,任何人都能在失效前登录
2.安全的token生成方法
需要两个字段:
token:随机生成的字符串
series: 登录序列号,仅仅当用户重新输入用户名密码登录时更新,在记住我状态下自动登录时只有token更新
a.用户在同一浏览器下
1.用户输入用户名密码登录 sesies= seriesA token= tokenA
2.用户在token过期时间内自动登录 series= seriesA token= tokenB
3.用户在token过期后或重新登录 series= seriesC token= tokenC
b.用户在不同浏览器下登录
1.用户在A浏览器内输入用户名密码登录 sesies= seriesA token= tokenA
2.用户在B浏览器内输入用户名密码登录 series= seriesB token= tokenB
c.用户信息被盗
1.用户输入用户名密码登录 sesies= seriesA token= tokenA
2.用户信息被盗,黑客获取series和token登录 series= seriesA token= tokenB
3.用户在token过期时间内登录,使用本地cookie内的seriesA tokenA,服务器接受到请求后发现series未变,token变了!
发送被盗警告。
原文:http://www.cnblogs.com/yanze/p/7748467.html