it-swarm.asia

كيفية استخدام ملفات تعريف الارتباط بطريقة آمنة لمصادقة المستخدمين؟

في معظم الحالات ، أحب استخدام ملفات تعريف الارتباط لتذكر إعادة المستخدمين إلى مواقع الويب الخاصة بي.

في الأيام الأولى/الحماقة الخاصة بي ، قمت بتخزين معرف مستخدم (عدد صحيح زيادة تلقائية) في ملف تعريف ارتباط وإذا عاد المستخدم فسأستخدم قيمة ملف تعريف الارتباط هذه لتسجيل الدخول تلقائيًا. كانت هذه فكرة سيئة لأن أي شخص يمكنه بسهولة تحرير ملف تعريف الارتباط لاستخدام عدد صحيح مختلف وتسجيل الدخول كشخص آخر.

هل هو موافق لتخزين معرف المستخدم بنفس الطريقة إذا كان معرف المستخدم هو GUID؟

ما هي أفضل الممارسات لتخزين ملفات تعريف الارتباط "تذكرني"؟

7
jessegavin

يجب مراعاة استخدام جلسات للتعامل مع هذا النوع من السيناريو.

تعمل الجلسات عمومًا عن طريق إنشاء GUIDفريد _ لمصادقة المستخدم وحفظه في ملف تعريف ارتباط على الجهاز المحلي للمستخدم أو تمريره ، من صفحة إلى أخرى ، عبر عنوان URL.

تشير هذه الجلسة GUID إلى إدخال ملف أو قاعدة بيانات على الخادم الذي يمكن بعد ذلك قراءته وكتابته بواسطة التعليمات البرمجية المصدر الخاصة بك ، عن طريق ربط GUID في ملف تعريف الارتباط/URL الخاص بالمستخدم مع GUID للملف أو إدخال قاعدة البيانات الذي يحتفظ ببياناتك.

من الآمن بشكل عام وضع بيانات أكثر حساسية (مثل معرف المستخدم) في الجلسات لأنه لا يوجد شيء مرئي للمستخدم النهائي باستثناء جلسة GUID.

سيكون لمعظم اللغات المعتمدة على الويب نوع من إدارة الجلسات.

2
Nat Ryall

حفظ اثنين من ملفات تعريف الارتباط:

  • UserId: يحتوي على معرف المستخدم
  • Password: يحتوي على SHA1 لكلمة مرور المستخدم

سهل جدا وآمن. تذكر سمة HttpOnly .

1
Thomas Bonini