很多主流的网站都支持用户自动登录的功能,浏览器登录过一次之后,下次再访问就不用再输用户名密码了。有一种糟糕的做法:用户登录后在服务器端用session保存用户的登录数据,在客户端存键为sessionid的cookie;服务器处理请求时检查这个请求带来的sessionid,看是不是保存了对应的数据,如果有就自动登录,没有就让输入用户名密码。这个做法,只要拿了别人的sessionid就可以用来登录了,非常不安全。
2 回答
慕码人2483693
TA贡献1860条经验 获得超9个赞
基本上都是通过保存sessionid来实现,如果想安全性好一点可以在服务器端做一个ip验证,看看两次登陆的ip是否一样,不过这个实现起来有问题,如果你是用着笔记本电脑,ip老变就有问题了,所以还是保存一个seesion比较靠谱。
如果其他人能拿到你的sessionid,那么也代表他完全可能拿到你的用户名密码,所以你的担心没有必要。
- 2 回答
- 0 关注
- 166 浏览
添加回答
举报
0/150
提交
取消