前提
1. Cookie 是脆弱的。cookie 容易被竊取和受到垮站腳本的攻擊,我們必須接受 cookie 是不安全的。
2. 持久化登錄 cookies 使得它們能通過網站的認證。這跟使用用戶名和密碼登錄是相同的。
3. 能從登錄 cookie 里恢復密碼的設計比不能恢復更危險。
4. 把持久化 cookie 跟 ip 綁定起來大多數時候使它們并不持久。
5. 用戶可能希望同時把 cookie 持久保存在多個瀏覽器,多臺機器上。
方案
首先這個 cookie 由用戶名、分隔符和一個很大的隨機數(128 位是比較理想的可以接受的長度)組成。服務器上有一張表保存有這個隨機數和用戶名的關系,用來驗證 cookie 是否合法。如果 cookie 提供的隨機數和用戶名跟表上存的能對應上且未過期,那么就可以接受用戶的登錄。 表結構:
復制代碼 代碼如下:
id username token expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00
某些時候,一個用戶名可能對應多個隨機數。另外,雖然不大可能,但即使有兩個用戶名對應同一個隨機數也沒什么關系。
一個持久化 cookie 被認證后,這個用來登錄的隨機數就失效了,并且需要分配一個新的 cookie (生成一個新的隨機數, 并更新數據庫里的記錄)給用戶。然后用標準的 session 管理機制來處理 session 的生命周期,而那個新設置的 cookie 直到這次 session 結束都不會再被檢查。
服務器不需要特意防止一個以前用過的隨機數被重新使用,這個幾率非常小,即使發生了也沒有人會知道可以利用它。
當用戶通過退出功能退出后,他們當前 cookie 里的隨機數也就失效了。用戶也應該可以選擇清除所有被系統記錄的持久化登錄。
數據庫不定期的清理那些過期的記錄(類似 session 的 gc 機制)。
下面這些功能不能允許通過 cookie 登錄的用戶使用:
復制代碼 代碼如下:
* 修改密碼
* 修改用戶郵箱(特別是如果系統的密碼找回機制是基于郵箱的)
* 任何用戶的敏感信息
* 任何需要支付的功能
最后
如果用戶的登錄 cookie 受到了攻擊,攻擊者就能以這個用戶的身份來使用網站的功能。這是使用 cookie 無法避免的!盡管如此,攻擊者應該不能:
復制代碼 代碼如下:
* 接觸用戶的敏感信息
* 花用戶的錢
* 重置用戶密碼
* 以用戶的名義阻止用戶接收網站的通知
* 共享偷到的 cookie 給其他人
您可能感興趣的文章:- JavaWeb開發使用Cookie創建-獲取-持久化、自動登錄、購物記錄、作用路徑
