关于安全的会员登陆和保持登陆状态的办法,欢迎讨论

stan23 2007-01-23 04:49:56
当然一切讨论都是在非https情况下的,如果是https,很多问题都不是问题了

会员登陆时,我打算参照VBB的方法,即在CLIENT端用JS把md5(md5(password)+salt)计算出来传到服务器进行匹配,每次登陆成功后立即修改salt
这样做的目的是防止发送的密码被监听

关于记住登陆,我还没有好的办法,我不清楚在向服务器传递重要COOKIE(比如session id)的时候有没有被监听的可能
目前有一个想法是用数据库保存SESSION,然后再加一个IP地址的验证,也就是说一个会员用某个IP登陆,只有确认是这个IP才能保持他的登陆状态。 我知道有办法可以伪装IP,IP协议不是很熟悉,想知道通过伪装的IP能进行正常的WEB通信吗? (这跟通常的NAT不一样,因为NAT应用里,你要在被伪装的IP机器里做相应的转址才行)
...全文
257 5 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
iasky 2007-01-24
  • 打赏
  • 举报
回复
https
cymple 2007-01-24
  • 打赏
  • 举报
回复
是的
直接HTTPS
安全级别更高就用再加控件或者U盘...
helloyou0 2007-01-24
  • 打赏
  • 举报
回复
为什么不用https,有什么困难吗?

懒得去死 2007-01-23
  • 打赏
  • 举报
回复
多几次MD5。
myvicy 2007-01-23
  • 打赏
  • 举报
回复
MD5的强度已经很不错了,你还有了salt。
这样是为了防止什么?

21,893

社区成员

发帖
与我相关
我的任务
社区描述
从PHP安装配置,PHP入门,PHP基础到PHP应用
社区管理员
  • 基础编程社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧