Session 和 Cookie 令牌是一样的……这有风险吗?

【问题标题】:Session and Cookie token are the same... is this a risk?Session 和 Cookie 令牌是一样的……这有风险吗?
【发布时间】:2013-12-01 23:23:15
【问题描述】:

我有一个登录脚本,它在成功登录时将散列和加盐的令牌存储到 MySQL 数据库中。然后将原始令牌保存到会话变量中,并可选择保存到客户端 cookie。

这是安全风险吗?我是否应该将哈希令牌存储在我的会话中,并且只通过 cookie 提供原始令牌?

一般来说有没有更好的方法来处理这种情况?

【问题讨论】:

  • 如果通过 javascript EG 访问的 cookie 不是一个安全的 cookie,它会受到 XSRF/XSS 攻击,如果它不是对 mitm 攻击和会话固定开放,假设您使用该值有点记住我。加密 RAND|IP|TOKEN|DATE_TIME|SESSION_ID|RAND 之类的字符串并存储该解密并检查后续 yadas 上的值是否匹配。

标签: php session cookies passwords token


【解决方案1】:

当谈到 Security 时,选择 cookie 确实是个坏主意。

我希望你很清楚cookies 很容易被篡改。如果您仍想将原始令牌存储到 cookies 中,每当您执行操作时,请比较您的 session 令牌和 cookie 令牌,看看它们是否匹配。如果是这样,则执行该操作。如果它们不匹配,只需使session 过期(即注销用户)并删除cookie

【讨论】:

  • 比较数据库和cookie之间的令牌并在它们不匹配时删除肯定是完成的。但你似乎在说饼干一般都很糟糕。您如何建议实施行业标准“记住我”选项?
猜你喜欢
  • 2021-06-22
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2022-07-07
  • 2021-05-04
  • 2012-02-18
  • 1970-01-01
  • 2013-12-02
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode