84669 人が学習中
152542 人が学習中
20005 人が学習中
5487 人が学習中
7821 人が学習中
359900 人が学習中
3350 人が学習中
180660 人が学習中
48569 人が学習中
18603 人が学習中
40936 人が学習中
1549 人が学習中
1183 人が学習中
32909 人が学習中
一般的な方法はアカウントとパスワードを Cookie に保存することですが、これは安全ではありません。安全な方法はありますか?
光阴似箭催人老,日月如移越少年。
首先,登录成功了之后,随机生成一个MD5的hash值token(32位或者64位);
然后,把这个token存入当前用户的表,然后给这个用户增加一个token字段和last_login_time字段;
把这个token返回让浏览器的cookie存储,设置一个最长时常,比如30天;
这三个过程的主要作用就是,last_login_time可以检查过期时间,过期时间到了之后,就更新这个token,另外,只要用户通过这个token登录成功就进行更新token,这样就能尽可能的保证安全。
每次用户访问网站的时候,检查cookie里是否有token,如果有token就去数据库查询数据,如果查到就直接登录成功了,也就省去了用户名和密码验证登录的阶段。
整套思想是这样,你也可以让前端把token存入localstorage
用jwt token的方式,浏览器的存token。
具体可以看看下面两个文章
jwt-vs-oauth-authentication , jwt
不要用cookie存帐户密码,存一个记住登陆的flag,最后是与上次登陆的时间, 以及生成的key, 拼成一个加密串。然后存到cookie中。然后每次登陆的时候查看是否有这个cookie.有的话进行解密。然后可以解决这个串进行校检。如果正常直接给予登陆即可。
cookie是将密码放到本地,session是将密码放在服务器。相对来说session比较安全。但是cookie处理的好的话也是很安全的。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
首先,登录成功了之后,随机生成一个MD5的hash值token(32位或者64位);
然后,把这个token存入当前用户的表,然后给这个用户增加一个token字段和last_login_time字段;
把这个token返回让浏览器的cookie存储,设置一个最长时常,比如30天;
这三个过程的主要作用就是,last_login_time可以检查过期时间,过期时间到了之后,就更新这个token,另外,只要用户通过这个token登录成功就进行更新token,这样就能尽可能的保证安全。
每次用户访问网站的时候,检查cookie里是否有token,如果有token就去数据库查询数据,如果查到就直接登录成功了,也就省去了用户名和密码验证登录的阶段。
整套思想是这样,你也可以让前端把token存入localstorage
用jwt token的方式,浏览器的存token。
具体可以看看下面两个文章
jwt-vs-oauth-authentication , jwt
不要用cookie存帐户密码,存一个记住登陆的flag,最后是与上次登陆的时间, 以及生成的key, 拼成一个加密串。然后存到cookie中。
然后每次登陆的时候查看是否有这个cookie.有的话进行解密。然后可以解决这个串进行校检。如果正常直接给予登陆即可。
cookie是将密码放到本地,session是将密码放在服务器。相对来说session比较安全。但是cookie处理的好的话也是很安全的。