背景:最近ssl安全问题,难免在用户登录时也会多想想这方面的问题,而web端的登录什么的安全是一个长时间有方案处理的问题,但PC应用程序的自动登录安全防范,不是太多关于这方面的安全讨论的文章,近来有oauth2+ssl获取到token,通过token就能知道是谁,但这个token如何加密放哪儿是磁盘还是内存才能不被破解才能更安全呢?如果你的程序是c编译的是否真的就不会被反编译?参考腾讯的键盘屏蔽什么的投入成本是否太大了对于一些小的应用程序来说,想如何平衡,我想这确实是一个值得探讨的问题。
————————————————————————————————————————————————————
很多主流的网站都支持用户自动登录的功能,浏览器登录过一次之后,下次再访问就不用再输用户名密码了。
有一种糟糕的做法:
用户登录后在服务器端用session保存用户的登录数据,在客户端存键为sessionid的cookie;服务器处理请求时检查这个请求带来的sessionid,看是不是保存了对应的数据,如果有就自动登录,没有就让输入用户名密码。
这个做法,只要拿了别人的sessionid就可以用来登录了,非常不安全。
用户数据很重要,那些巨头的网站是怎么实现自动登录的呢?
回答一:
基本上都是通过保存sessionid来实现,如果想安全性好一点可以在服务器端做一个ip验证,看看两次登陆的ip是否一样,不过这个实现起来有问题,如果你是用着笔记本电脑,ip老变就有问题了,所以还是保存一个seesion比较靠谱。
如果其他人能拿到你的sessionid,那么也代表他完全可能拿到你的用户名密码,所以你的担心没有必要。
回答二:
我告诉你开源php框架的symfony中的一个很有名的扩展sfGuard是怎么做的,可能可以给你提供一些思路:
首先你的数据库需要一个rememberkey表:它包含了一下三个字段:
user_id, remember_key(string(32),unique), ip_address, 当然还有两个时间字段created_at和updated_at那几乎是必须有的就不提了。
如果用户在登录的时候勾选了remember me
那么用md5一个随机值,比如timestamp + rand(0, 9999999)产生一个remember_key。因为随机的变化还是很大的,所以remember_key几乎不可能会出重复的key。
然后把此key在客户端cookie和数据库各存放一份,cookie的存放时间就是你记住密码设置的时间长度,另外ip要记在数据库里面。
如果用户点击退出,那么在删除session的同时,也把cookie里的remember_key以及数据库对应的key那条记录删除,当然为了防止垃圾数据越来越多,此时也可以顺便把所有过了失效的key全部删除
如果用户下次访问页面但是session已经失效,那么检测是否有remember_key这个cookie,如果有的话,拿这个值以及访问的ip去数据库里找记录,如果找到了,那么这条记录的user_id对应的user就自动登录了。
当然你可以做一些修改,比如ip不见得是必须的,因为国内的用户ip会老变嘛。
来自:http://segmentfault.com/q/1010000000094837
————————————————————————————————————————————————————
很多主流的网站都支持用户自动登录的功能,浏览器登录过一次之后,下次再访问就不用再输用户名密码了。
有一种糟糕的做法:
用户登录后在服务器端用session保存用户的登录数据,在客户端存键为sessionid的cookie;服务器处理请求时检查这个请求带来的sessionid,看是不是保存了对应的数据,如果有就自动登录,没有就让输入用户名密码。
这个做法,只要拿了别人的sessionid就可以用来登录了,非常不安全。
用户数据很重要,那些巨头的网站是怎么实现自动登录的呢?
回答一:
基本上都是通过保存sessionid来实现,如果想安全性好一点可以在服务器端做一个ip验证,看看两次登陆的ip是否一样,不过这个实现起来有问题,如果你是用着笔记本电脑,ip老变就有问题了,所以还是保存一个seesion比较靠谱。
如果其他人能拿到你的sessionid,那么也代表他完全可能拿到你的用户名密码,所以你的担心没有必要。
回答二:
我告诉你开源php框架的symfony中的一个很有名的扩展sfGuard是怎么做的,可能可以给你提供一些思路:
首先你的数据库需要一个rememberkey表:它包含了一下三个字段:
user_id, remember_key(string(32),unique), ip_address, 当然还有两个时间字段created_at和updated_at那几乎是必须有的就不提了。
如果用户在登录的时候勾选了remember me
那么用md5一个随机值,比如timestamp + rand(0, 9999999)产生一个remember_key。因为随机的变化还是很大的,所以remember_key几乎不可能会出重复的key。
然后把此key在客户端cookie和数据库各存放一份,cookie的存放时间就是你记住密码设置的时间长度,另外ip要记在数据库里面。
如果用户点击退出,那么在删除session的同时,也把cookie里的remember_key以及数据库对应的key那条记录删除,当然为了防止垃圾数据越来越多,此时也可以顺便把所有过了失效的key全部删除
如果用户下次访问页面但是session已经失效,那么检测是否有remember_key这个cookie,如果有的话,拿这个值以及访问的ip去数据库里找记录,如果找到了,那么这条记录的user_id对应的user就自动登录了。
当然你可以做一些修改,比如ip不见得是必须的,因为国内的用户ip会老变嘛。
来自:http://segmentfault.com/q/1010000000094837
作者:jackx@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://www.jackxiang.com/post/7161/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
如何用JS获取当前页面的URL网址参数?php如何获取当前链接(包括参数
赞!带进度条的 jQuery 文件拖放上传插件 ,Html5截图,Web评论列表
