62,243
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
游离失所 2014-07-14
- 打赏
- 举报
我感觉就服务器端CACHA[key]=USER对象。。
客户端COOKIES存服务器端缓存的KEY。。
以前我们就是这么弄的
於黾 2014-07-14
- 打赏
- 举报
如果机器里记录了密码(不管加密没加密),那么如果我黑到你电脑里,我就可以在别的地方登陆了
要实现自动登录,不能仅仅将信息保存到客户机了事,服务器必须维护客户机的信息,比如IP等,发现改变了就不能再让登录了,否则也太不安全了,我把你的COOKIES考到别的电脑上一样让登录?
winner2050 2014-07-14
- 打赏
- 举报
这帖子还这么兴师动众,楼主还消失了。
简单百度一下“asp.net 表单验证 记住登录”
wanghui0380 2014-07-14
- 打赏
- 举报
另外实在不明白你的“安全性”是个什么意思???
既然保证登录,那就根本没啥安全性可言,对比一下支付宝,你要登录了不下,我当然可以上去看你的浏览信息和购买信息这类普通信息上,只是在某些机密信息部分需要口令操作(无论何时何地操作机密和关键数据的时候都需要验证口令滴)
wanghui0380 2014-07-14
- 打赏
- 举报
你和纠结和矛盾啊
人家凭啥记得你的机器登录了,当然是客户端放了一个cookie表明我登录,当然这个没啥加密不加密滴,只是一个登录标识,你可以放用户名(密码当然不用放,谁告诉你放密码,那么这家伙一定是喝醉了)
只放一个用户名怎么就不安全了????只是一个登录标识而已,而不是其他的机密信息
lovebaby 2014-07-14
- 打赏
- 举报
我觉得cao版主的意思应该是不论你的cookies在客户端怎么加密,我只要用加密后的信息去提交服务器就可以验证通过了。
wylp_19 2014-07-14
- 打赏
- 举报
cookie 加密
ayanamireizero 2014-07-14
- 打赏
- 举报
俺土逼,只会用cookies,把cookies做下des加密........
lovebaby 2014-07-14
- 打赏
- 举报
看看CSDN是怎么做的
就知道了
就知道了
楉枫 2014-07-14
- 打赏
- 举报
为保证状态不丢失, 我一般采用session + cookies 。将用户对象存放于session中,如果获取session中的对象丢失的话,就调用cookies中的加密数据来重新创建对象。
showjim 2014-07-13
- 打赏
- 举报
看你要那个等级的安全:
1.全站https
2.敏感部分https
3.HTML5本地存储随机数模拟https
4.永久静态分配随机数模拟https
5.cookie+POST+hash([一次性随机数]+[有效期]+密码)
以专业开发人员为伍 2014-07-13
- 打赏
- 举报
用户信息不应该存在cookie中,更不包括密码。
cookie中仅仅保存一个会话编号就行了。就好像asp.net的SessionID。只不过asp.net的SessionID只在进程内存中保存有效,而人家的在客户端硬盘中保存有效。
threenewbee 2014-07-12
- 打赏
- 举报
如果你实在不知道怎么做,就用默认的Form认证,以及Login控件。它的实现机制和“大型网站”没有区别。[/quote]就是可以在用户登录成功后在客户端存几个cookie,实现下次再开浏览器,服务器也认为他在登陆状态. 存什么cookie数据在客户端会比较好且安全[/quote]
要想知道怎么安全,首先要搞清楚怎么不安全。
为什么说1L这种方式是反常识的,这是因为攻击者只要接触到用户的计算机,他就可以利用这个所谓“加密的用户名密码"代替真实的用户名密码随意登录网站了。除非用户更换密码,否则一直有效,这个加密纯粹是掩耳盗铃。
至于应该怎么做,原理介绍我已经告诉你了,自己去看。[/quote]
这位版主,轻喷,我说的加密用户名密码,是指经过散列运算的一个token. 这个token根据用户名密码(可能还要加上其他特殊信息)生成,基本上不可能被还原。
至于你说的”攻击者只要接触到用户的计算机“。那我只能用一个笑话来回答你:
一个卖耗子药的,他吹自己的药如何如何神效,于是大家都来买。有一位老妇问他,这药该怎么用?答曰:简单得很,你只要捉住一只耗子,再把药塞到它嘴里就行了。
[/quote]
为何非要把密码拿来作运算呢。
bwangel 2014-07-12
- 打赏
- 举报
如果你实在不知道怎么做,就用默认的Form认证,以及Login控件。它的实现机制和“大型网站”没有区别。[/quote]就是可以在用户登录成功后在客户端存几个cookie,实现下次再开浏览器,服务器也认为他在登陆状态. 存什么cookie数据在客户端会比较好且安全[/quote]
要想知道怎么安全,首先要搞清楚怎么不安全。
为什么说1L这种方式是反常识的,这是因为攻击者只要接触到用户的计算机,他就可以利用这个所谓“加密的用户名密码"代替真实的用户名密码随意登录网站了。除非用户更换密码,否则一直有效,这个加密纯粹是掩耳盗铃。
至于应该怎么做,原理介绍我已经告诉你了,自己去看。[/quote]
这位版主,轻喷,我说的加密用户名密码,是指经过散列运算的一个token. 这个token根据用户名密码(可能还要加上其他特殊信息)生成,基本上不可能被还原。
至于你说的”攻击者只要接触到用户的计算机“。那我只能用一个笑话来回答你:
一个卖耗子药的,他吹自己的药如何如何神效,于是大家都来买。有一位老妇问他,这药该怎么用?答曰:简单得很,你只要捉住一只耗子,再把药塞到它嘴里就行了。
RainBow_24 2014-07-11
- 打赏
- 举报
翻Q么?给个工具啊!
threenewbee 2014-07-11
- 打赏
- 举报
如果你实在不知道怎么做,就用默认的Form认证,以及Login控件。它的实现机制和“大型网站”没有区别。[/quote]就是可以在用户登录成功后在客户端存几个cookie,实现下次再开浏览器,服务器也认为他在登陆状态. 存什么cookie数据在客户端会比较好且安全[/quote]
要想知道怎么安全,首先要搞清楚怎么不安全。
为什么说1L这种方式是反常识的,这是因为攻击者只要接触到用户的计算机,他就可以利用这个所谓“加密的用户名密码"代替真实的用户名密码随意登录网站了。除非用户更换密码,否则一直有效,这个加密纯粹是掩耳盗铃。
至于应该怎么做,原理介绍我已经告诉你了,自己去看。
一片冰心在玉壶 2014-07-11
- 打赏
- 举报
cookie 加密后存储
笑问苍天丶 2014-07-11
- 打赏
- 举报
看看去
笑问苍天丶 2014-07-11
- 打赏
- 举报
如果你实在不知道怎么做,就用默认的Form认证,以及Login控件。它的实现机制和“大型网站”没有区别。[/quote]就是可以在用户登录成功后在客户端存几个cookie,实现下次再开浏览器,服务器也认为他在登陆状态. 存什么cookie数据在客户端会比较好且安全
threenewbee 2014-07-11
- 打赏
- 举报
如果你不满足拖一个控件,花5分钟google下(注意不要使用百度这种垃圾)
form认证 记住密码 机制
就知道了。(答案在搜索出来的第2个链接)
加载更多回复(9)
