前提
1. Cookie 是脆弱的。cookie 容易被竊取和受到垮站腳本的攻擊�����,我們必須接受 cookie 是不安全的��。
2. 持久化登錄 cookies 使得它們能通過網(wǎng)站的認(rèn)證�。這跟使用用戶名和密碼登錄是相同的����。
3. 能從登錄 cookie 里恢復(fù)密碼的設(shè)計(jì)比不能恢復(fù)更危險(xiǎn)。
4. 把持久化 cookie 跟 ip 綁定起來大多數(shù)時(shí)候使它們并不持久��。
5. 用戶可能希望同時(shí)把 cookie 持久保存在多個(gè)瀏覽器��,多臺機(jī)器上。
方案
首先這個(gè) cookie 由用戶名�����、分隔符和一個(gè)很大的隨機(jī)數(shù)(128 位是比較理想的可以接受的長度)組成���。服務(wù)器上有一張表保存有這個(gè)隨機(jī)數(shù)和用戶名的關(guān)系����,用來驗(yàn)證 cookie 是否合法�。如果 cookie 提供的隨機(jī)數(shù)和用戶名跟表上存的能對應(yīng)上且未過期,那么就可以接受用戶的登錄��。 表結(jié)構(gòu):
復(fù)制代碼 代碼如下:
id username token expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00
某些時(shí)候����,一個(gè)用戶名可能對應(yīng)多個(gè)隨機(jī)數(shù)。另外����,雖然不大可能,但即使有兩個(gè)用戶名對應(yīng)同一個(gè)隨機(jī)數(shù)也沒什么關(guān)系�。
一個(gè)持久化 cookie 被認(rèn)證后,這個(gè)用來登錄的隨機(jī)數(shù)就失效了�,并且需要分配一個(gè)新的 cookie (生成一個(gè)新的隨機(jī)數(shù), 并更新數(shù)據(jù)庫里的記錄)給用戶���。然后用標(biāo)準(zhǔn)的 session 管理機(jī)制來處理 session 的生命周期,而那個(gè)新設(shè)置的 cookie 直到這次 session 結(jié)束都不會再被檢查���。
服務(wù)器不需要特意防止一個(gè)以前用過的隨機(jī)數(shù)被重新使用,這個(gè)幾率非常小��,即使發(fā)生了也沒有人會知道可以利用它����。
當(dāng)用戶通過退出功能退出后,他們當(dāng)前 cookie 里的隨機(jī)數(shù)也就失效了����。用戶也應(yīng)該可以選擇清除所有被系統(tǒng)記錄的持久化登錄。
數(shù)據(jù)庫不定期的清理那些過期的記錄(類似 session 的 gc 機(jī)制)���。
下面這些功能不能允許通過 cookie 登錄的用戶使用:
復(fù)制代碼 代碼如下:
* 修改密碼
* 修改用戶郵箱(特別是如果系統(tǒng)的密碼找回機(jī)制是基于郵箱的)
* 任何用戶的敏感信息
* 任何需要支付的功能
最后
如果用戶的登錄 cookie 受到了攻擊�����,攻擊者就能以這個(gè)用戶的身份來使用網(wǎng)站的功能�����。這是使用 cookie 無法避免的�!盡管如此,攻擊者應(yīng)該不能:
復(fù)制代碼 代碼如下:
* 接觸用戶的敏感信息
* 花用戶的錢
* 重置用戶密碼
* 以用戶的名義阻止用戶接收網(wǎng)站的通知
* 共享偷到的 cookie 給其他人
您可能感興趣的文章:- JavaWeb開發(fā)使用Cookie創(chuàng)建-獲取-持久化�����、自動登錄�、購物記錄、作用路徑
