前提
1. Cookie 是脆弱的����。cookie 容易被竊取和受到垮站腳本的攻擊����,我們必須接受 cookie 是不安全的���。
2. 持久化登錄 cookies 使得它們能通過網(wǎng)站的認(rèn)證����。這跟使用用戶名和密碼登錄是相同的���。
3. 能從登錄 cookie 里恢復(fù)密碼的設(shè)計(jì)比不能恢復(fù)更危險(xiǎn)�。
4. 把持久化 cookie 跟 ip 綁定起來大多數(shù)時(shí)候使它們并不持久����。
5. 用戶可能希望同時(shí)把 cookie 持久保存在多個(gè)瀏覽器�,多臺(tái)機(jī)器上�。
方案
首先這個(gè) cookie 由用戶名、分隔符和一個(gè)很大的隨機(jī)數(shù)(128 位是比較理想的可以接受的長(zhǎng)度)組成��。服務(wù)器上有一張表保存有這個(gè)隨機(jī)數(shù)和用戶名的關(guān)系,用來驗(yàn)證 cookie 是否合法��。如果 cookie 提供的隨機(jī)數(shù)和用戶名跟表上存的能對(duì)應(yīng)上且未過期����,那么就可以接受用戶的登錄。 表結(jié)構(gòu):
復(fù)制代碼 代碼如下:
id username token expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00
某些時(shí)候,一個(gè)用戶名可能對(duì)應(yīng)多個(gè)隨機(jī)數(shù)。另外,雖然不大可能,但即使有兩個(gè)用戶名對(duì)應(yīng)同一個(gè)隨機(jī)數(shù)也沒什么關(guān)系��。
一個(gè)持久化 cookie 被認(rèn)證后,這個(gè)用來登錄的隨機(jī)數(shù)就失效了,并且需要分配一個(gè)新的 cookie (生成一個(gè)新的隨機(jī)數(shù), 并更新數(shù)據(jù)庫(kù)里的記錄)給用戶�����。然后用標(biāo)準(zhǔn)的 session 管理機(jī)制來處理 session 的生命周期�,而那個(gè)新設(shè)置的 cookie 直到這次 session 結(jié)束都不會(huì)再被檢查�����。
服務(wù)器不需要特意防止一個(gè)以前用過的隨機(jī)數(shù)被重新使用,這個(gè)幾率非常小���,即使發(fā)生了也沒有人會(huì)知道可以利用它����。
當(dāng)用戶通過退出功能退出后�����,他們當(dāng)前 cookie 里的隨機(jī)數(shù)也就失效了���。用戶也應(yīng)該可以選擇清除所有被系統(tǒng)記錄的持久化登錄����。
數(shù)據(jù)庫(kù)不定期的清理那些過期的記錄(類似 session 的 gc 機(jī)制)����。
下面這些功能不能允許通過 cookie 登錄的用戶使用:
復(fù)制代碼 代碼如下:
* 修改密碼
* 修改用戶郵箱(特別是如果系統(tǒng)的密碼找回機(jī)制是基于郵箱的)
* 任何用戶的敏感信息
* 任何需要支付的功能
最后
如果用戶的登錄 cookie 受到了攻擊�����,攻擊者就能以這個(gè)用戶的身份來使用網(wǎng)站的功能。這是使用 cookie 無法避免的!盡管如此���,攻擊者應(yīng)該不能:
復(fù)制代碼 代碼如下:
* 接觸用戶的敏感信息
* 花用戶的錢
* 重置用戶密碼
* 以用戶的名義阻止用戶接收網(wǎng)站的通知
* 共享偷到的 cookie 給其他人
您可能感興趣的文章:- JavaWeb開發(fā)使用Cookie創(chuàng)建-獲取-持久化��、自動(dòng)登錄����、購(gòu)物記錄�����、作用路徑
