0
これは、クッキーを使って値を比較するだけの場合に、ユーザーごとに別の「パスワード」または認証値を保存することです。クッキーが何らかの形で盗まれた場合、本当のパスワードとは何の関係もありません。永久セッション/ 2番目のパスワードは良いアイデアですか?
重要な操作については、パスワードの変更などのように、ユーザーは自分のパスワードとその有効性と元のパスワード(塩漬け、暗号化されたものなど)を提供する必要があります。
A
答えて
0
IMOパスワードとセッション/自動ログインクッキーが何らかの形で関連する理由はありません。そう、はい、私はそれらを完全に別々にするでしょう。私は通常、クッキー内でランダムな値を使用して、サーバー側のデータをそれに関連付けます。これにより、サーバー側からクッキーを無効にすることもできます。
0
あなたの質問は本当に明確ではありませんが、パスワードをクッキーに入れないでください。
あなたはちょうど1つのパスワードが必要です。
「永続的な」クッキーを使用する1つの解決策は、セッションに時間制限を設けることです。その制限に達すると、パスワードは重要なことを実行するために必要です(アカウントへのアクセス、メールの参照、パスワードの変更など)。 )
CodesInChaosで述べたように、クッキーは単なる乱数です。しかし、その番号が良いランダムジェネレータ(つまり、非常に良いエントロピーを持っていると言うOpenSSL関数)によって生成されていることを確認する必要があります。
関連する問題
- 1. GitHubリポジトリのID番号は永久ですか?
- 2. 永久
- 3. 「マスタープリファレンス」クラスは良いアイデアですか?
- 4. MSMQは良いアイデアです
- 5. 良いアイデア/悪いアイデア(/他のアイデア?)
- 6. 永久
- 7. Railsの所定のセットアップページの2番目のパスワード - MFAでない
- 8. Mulitple FileSystemWatchersは良いアイデアですか?
- 9. Javaの永久スイッチ
- 10. URLハッシュのJSON - 悪いまたは良いアイデアですか?
- 11. 2番目と4番目のコミットを取り出す最良の方法は何ですか?
- 12. 永久ログイン
- 13. は永久にMatLabの
- 14. Android SQLite永久データ
- 15. Drupal 8で永久パスワードを生成して郵送するには?
- 16. 永久に$ ionicLoadingローディング
- 17. nginx 301永久リダイレクト
- 18. 2番目のアプリケーションでセッション記憶域にアクセス
- 19. Google Playのアプリ署名からのオプトアウトは永久ですか?
- 20. スフィンクスの結果をMemcaching - 良いアイデアか悪いアイデア?
- 21. RouchでCouchbaseを使用するのは良いアイデアですか?
- 22. 2番目のサービスモジュールに2番目の経路パラメータを渡すにはどうすればよいですか?
- 23. 最初のURLのセッションで2番目のURLにヒットするにはどうすればよいですか?
- 24. 永久にチェックボックスを無効にする
- 25. 永久システムバーを隠すAndroid
- 26. この例の2番目の[]の目的は何ですか?
- 27. getlineの2番目のパラメータの目的は何ですか?
- 28. 新しいパスワードをCustomUsersCredentialsに追加するか、良いアイデアか悪い考えですか?
- 29. ノンクラスタード・インデックスでは、2番目、3番目、4番目...の列はどのようにソートされますか?
- 30. ノードの永久(npmパッケージ)メモリリーク