Các kỹ thuật được chấp nhận để duy trì trạng thái đăng nhập vào trang web là gì?

Question

Hầu hết các trang web bạn có thể đăng nhập cũng cung cấp tính năng để nó ghi nhớ bạn giữa các phiên. Kỹ thuật được chấp nhận và an toàn để thực hiện điều đó là gì? (Bạn đặt gì vào cookie và cách bạn xử lý nó trên máy chủ/db?)

Answer 1

Điều này gần đây 2009 chapter trong Spring Security 3.0 thảo luận về xác thực loại Remember-Me. Các khái niệm chung không dành riêng cho Spring Security để bạn có thể hưởng lợi từ nó ngay cả khi bạn không sử dụng nó. Chương này cũng trích dẫn bài đăngcủa Barry Jaspan, đây là một cải tiến so với các kỹ thuật được mô tả trong bài đăng 2004 blog của Charles Miller.

Các entry blog về cơ bản đi xuống đến:

1. Khi người dùng đăng nhập thành công với Ghi nhớ kiểm tra, một cookie đăng nhập được ban hành, thêm vào các tập tin cookie quản lý chuẩn của phiên.

   • Cookie đăng nhập chứa tên người dùng, số nhận dạng chuỗi và mã thông báo. Chuỗi và mã thông báo là các số ngẫu nhiên không thể tránh khỏi từ một không gian lớn phù hợp. Cả ba được lưu trữ cùng nhau trong một bảng cơ sở dữ liệu.

   • Khi người dùng không đăng nhập truy cập trang web và hiển thị cookie đăng nhập, tên người dùng, chuỗi và mã thông báo được tra cứu trong cơ sở dữ liệu.

   • Nếu bộ ba có mặt, người dùng được coi là được xác thực. Mã thông báo đã sử dụng được xóa khỏi cơ sở dữ liệu. Một mã thông báo mới được tạo ra, được lưu trữ trong cơ sở dữ liệu với tên người dùng và cùng một số nhận dạng, và một cookie đăng nhập mới chứa tất cả ba được cấp cho người dùng.
   • Nếu tên người dùng và chuỗi có mặt nhưng mã thông báo không khớp, hành vi trộm cắp được giả định. Người dùng nhận được cảnh báo mạnh mẽ và tất cả các phiên nhớ của người dùng sẽ bị xóa.
   • Nếu không có tên người dùng và chuỗi, cookie đăng nhập sẽ bị bỏ qua.

Answer 2

Chỉ là một cookie có giá trị lâu dài được gán. Tuy nhiên, nó sẽ chỉ hoạt động miễn là cookie tồn tại. Ví dụ, tôi có Firefox của tôi thiết lập để xóa cookie của tôi khi tôi đóng trình duyệt. Vì vậy, điều này sẽ không làm việc cho tôi.

Answer 3

Cookie, nhưng người dùng có thể quyết định xóa nó.

Trong cùng tinh thần, có một số loại giải pháp, sử dụng Flash. Flash có thể lưu trữ thông tin về phía máy khách, không phải cookie, nó không bị xóa (thường) bởi trình duyệt. Với nó, bạn có thể nhớ người dùng nào đang yêu cầu các trang nhưng bạn bị kẹt bằng cách sử dụng giải pháp sử dụng plugin và cần biết Flash ..

Tôi không thấy bất kỳ giải pháp nào khác.

Answer 4

Signed cookie mà không thể giả mạo có thể là một ý tưởng tốt khi bạn không cần một tổng thể server-side bang ... bình nạc và hiệu quả.

Bạn vẫn có nguy cơ bị trộm cắp cookie nhưng bạn luôn có thể đăng nhập cookie bằng địa chỉ IP, Tác nhân người dùng và những thứ khác để giúp giảm thiểu mối đe dọa.

Answer 5

Đừng cố tự mình triển khai cookie phiên.

Hầu hết các khung công tác web cung cấp cho bạn một trừu tượng về điều này, để lại cho bạn sự quan tâm về nhiều vấn đề bảo mật mà bạn có thể đang tự phơi bày.

Một API đơn giản trong pseudo-code trong một khuôn khổ web có thể trông giống như thế này, trong lần đăng nhập:

authFrwk.loginUser(request.POST.get(username), request.POST.get(password)); 

này sẽ trở lại một cookie cho khách hàng (xử lý độc quyền bởi khuôn khổ).

Một hoạt động một cách an toàn có thẩm quyền sẽ xem xét một cái gì đó như thế này:

if (authFrwk.isLoggedOn()) // implicitly checks user session cookie 
    doSomethingImportant(); 
else 
    return notLoggedInMsg(); 

Về cơ bản, một cookie phiên được đưa ra một ID duy nhất trên server-side, mà một người sử dụng malacious không thể tạo/đoán bởi chính mình, và đó xác định khách hàng là người dùng đã đăng nhập.