问题描述
我们公司框架里的写法是,如果login时选中了自动登录,那么成功后会生成一个很长的key(加密后的)保存到cookie里,然后写一个拦截器,用这个key去远程请求验证在服务器端的db中是否存在这个key,存在就认为是合法的自动登录.但问题是,如果一个黑客把这个人的cookie copy到别的机器上,不一样也能实现自动登录了吗 问题补充:<div class="quote_title">visionsky 写道</div><div class="quote_div">这个key可以把电脑的相关信息,如ip,操作系统等,一起加进去,就算他拷到别处,拦截的时候去校验下这些电脑的信息就ok~</div><br /><br />加ip是个可行的办法.我认为
解决方案
这个key可以把电脑的相关信息,如ip,操作系统等,一起加进去,就算他拷到别处,拦截的时候去校验下这些电脑的信息就ok~
解决方案二:
楼主你的理解是对的,但cookie本来就是不安全的东西,既然放到cookie里那就不是很重要的。如果真的很重要,那也就不会弄成自动登录的了。所以像放到cookie里的东西基本没考虑被黑客入侵然后copy你的登录信息的情况,这样做也只是为了方便而已,比如实现自动登录的。
解决方案三:
既然hack都入侵电脑了,人家还copy什么,直接想怎么就怎么
时间: 2024-07-28 18:37:49