查看 Gmail 的 cookie,很容易看出“记住我”cookie 中存储的内容。用户名/一次性访问令牌。在用户名是秘密的情况下,它也可以以不同的方式实现。但无论如何......这件事的安全性不是很高:你偷了cookie,然后你就可以开始了。
然而,我的问题是在功能方面:您什么时候擦除他们的访问令牌?如果用户登录without在另一台计算机上单击“记住我”,是否会使他们的访问令牌失效所有机器?我问的是传统上是如何实现的,以及应该如何实现。
我经常同时使用 2 或 3 台机器,并且所有机器上都有“记住我”。如果其中一个断开了其他连接,那会很烦人,所以我不推荐它。
传统上它会使用超时,cookie 在一定时间长度(或用户退出时)后过期。
这完全取决于您的安全模型。如果您正在编写一个内部公司应用程序,您只希望一个用户在一台计算机上,那么您可能希望有比 gmail 更严格的限制。
另外,请记住拒绝服务的可能性 - 如果一台计算机上的操作可能会迫使另一台计算机无法使用,这可以用来防止合法用户在某些情况下夺回控制权。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)