解决通过Cookie进行网站自动登录的安全性问题
有很多Web程序中第一次登录后,在很长时间内再次访问同一个Web程序时就无需再次登录,例如博客园本身和一些音乐2.0网站。实现这个功能关键就是服务端要识别客户的身份。而用Cookie是最简单的省份验证。通过把userID和密码保存在cookie中就能自动登录。这样很容易被人修改cookie而仿冒他人进行登录,安全性不好。
解决办法是配合服务器端的验证,很多人用session持久化的方法,个人觉得不太好,我想到的实现方法是:
1. 用户每次登录时,服务器端生成一个唯一验证码,例如36位的GUID,存入数据库用户表中。同时保存该验证码到Cookie。
2. 用户访问网站时,例如访问 /home?uid=43845958,首先检查cookie里的UserID,如果没有就跳转到登录页面。然后再检查cookie里的验证码,如果和服务端数据库里的验证码一致,就说明是用户本人,否则跳转到登录页面。
3. 好处是如果用户篡改了cookie的UserID仿冒别人,也不会通过服务器端的验证码验证。
(这个cookie/或者叫token的原理和反CSRF攻击的原理类似。)
暂且想到的就这些,如果有更佳实践请不吝告知。