根据搜索查阅各位的资料经验,用户登录以后把密码存放在session里面是不可取的,这个我也认同这个观点。假如目前网站登录成功以后会在session存放2个变量:userid和username,现在项目因为一些特殊的原因要求每一页面都验证一次用户密码,那么怎么进行对比好?查找到这个用户能获取到数据库里的密码,但是session里没有密码,怎么进行对比验证?我想还是应该把密码信息存放在session里面,但怎么做才安全?描述的比较混乱,请见谅。
2 回答
HUWWW
TA贡献1874条经验 获得超12个赞
首先,数据库里面也不要存放密码,一般只存放hash后的密文;其次session中的用户信息,一般都是用户登录成功后才写入,session失效时间即表示在指定时间内用户有效,不太理解为什么每个页面都要验证一次密码,这样用户也会填的很烦;即使每个页面都要验证一次密码,也不要在session中放置密码,可以通过用户提交的密码hash密文与数据库中保留的hash密文进行比对;强烈建议在前端对userid、页面的url和提交时间进行hash生成唯一的token,然后在服务端同样对session中userid和页面的url以及提交时间进行hash生成唯一的token,对这两个token进行比对验证;
添加回答
举报
0/150
提交
取消