关于通过Cookie进行网站自动登录的安全问题

3/26/2009来源:ASP.NET技巧人气:8010

自动登录,系统将保存一个标志到用户的Cookie,比如保存1个月等
用户再次访问时,需要判断这个标志。
但如果这个标志被人窃取,那么这个人将可以仿冒此人。

窃取我们是不能避免的。但我们可以最大限度的减少损害,特别是在知道被盗时。

我考虑的一个简单做法
1 自动登录的标志,要和当前的密码和最后修改日期挂钩。 也就是生成算法里面要包含密码和修改日期,当然生成的标志里不会出现密码明文了。

2 登录时,根据当前密码等再次计算标志,如果不等,则证明用户已经修改了密码,不能再次登录

3 用户修改密码时,保存最后修改日期。

 

以上的步骤,唯一需要修改的就是标志的生成算法。但却可以最大限度的保护用户的信息。

用户可以定期的修改一下密码,这样那些窃取的Cookie就失效了,因为最后修改日期不同了。