用cookie实现自动登陆,怎么验证是自己登陆而不是别人,伪造。

boyTise 发布于 2013/04/18 19:07
阅读 1K+
收藏 0
用cookie实现自动登陆,怎么验证是自己登陆而不是别人
加载中
0
Tom-Lin
Tom-Lin

我理解,自动登录是有这个风险的。所以一般只在私人电脑上做这个设置。

在设置了自动登录的私人电脑的 cookie 里,保存了一个服务器生成唯一的 key,这个 key 也保存在服务器中。当用户登录时,只要匹配这个 key 和 用户名,就可以不输入密码而直接登录了。一般这个 key 是个无意义的长字符串,所以别人除非能进入你的私人电脑,否则是无法得到这个 key 的,也无法伪造

Tom-Lin
Tom-Lin
要对抗局域网 arp 嗅探,只能使用类似的 https 加密协议,否则的话,即使不用 cookie 登录而使用普通的登录页面,一样有可能会被嗅探器截获密码和用户名
leo108
leo108
还有一种情况是arp嗅探,在同一个局域网能是可以实现的
boyTise
boyTise
嗯,我也是这个意思。没别的办法了吗?
0
傲罗
傲罗
基本上无法完全识别,在重要操作的时候让其输入密码验证就行了。
0
自由PHP
自由PHP
楼主想的太多了,安全不是仅仅靠一个web端验证,还需要靠其它比如杀毒软件之类的服务来保障。不要想你能完成所有功能,不然别人的网银也不会在使用中莫名其妙的被盗了。尽可能的做的最好就可以了
0
小虫0302
小虫0302
一个愿意打一个愿意挨
boyTise
boyTise
呵呵
返回顶部
顶部