it-swarm-tr.com

Kullanıcıların kimliğini doğrulamak için çerezler güvenli bir şekilde nasıl kullanılır?

Çoğu durumda, kullanıcıları web sitelerime döndürmeyi hatırlamak için çerezleri kullanmayı seviyorum.

İlk/aptal günlerimde, bir Kullanıcı Adını (otomatik artan tamsayı) bir çerezde saklardım ve eğer kullanıcı geri dönerse, o çerez değerini otomatik olarak oturum açmak için kullanırdım. Bu kötü bir fikirdi, çünkü biri, farklı bir tam sayı kullanmak ve başkası olarak oturum açmak için çerezi kolayca düzenleyebiliyordu.

Kullanıcı kimliği GUID ise, bir kullanıcı kimliğini bu şekilde saklamak uygun mudur?

“Beni hatırla” çerezlerini saklamak için en iyi yöntemler nelerdir?

7
jessegavin

Bu tür bir senaryoyu ele almak için sessions kullanmayı düşünmelisiniz.

Oturumlar, genellikle kullanıcının kimlik doğrulaması için benzersiz bir GUID oluşturarak ve kullanıcının yerel makinesindeki bir tanımlama bilgisine kaydederek veya URL'den sayfadan sayfaya geçirerek çalışır.

Bu oturum GUID, kullanıcının çerezi/URL’sindeki GUID ile kullanıcı ilişkisini ilişkilendirerek, sunucuda kaynak kodunuz tarafından okunup yazılabilen bir dosya veya veritabanı girişine işaret eder. GUID verilerinizi tutan dosya ya da veritabanı girişinin _i.

Oturumlara daha hassas veriler (örneğin, kullanıcı kimliği gibi) koymak, GUID oturumu dışında son kullanıcı tarafından hiçbir şey görünmediğinden güvenlidir.

Çoğu web tabanlı dil, yerleşik bir tür oturum yönetimine sahip olacaktır.

2
Nat Ryall

İki çerez kaydet

  • UserId: kullanıcı kimliğini içerir
  • Password: kullanıcı şifresinin SHA1'ini içerir

Çok kolay ve güvenli. HttpOnly niteliğini hatırlayın .

1
Thomas Bonini