我们公司框架里的写法是,如果login时选中了自动登录,那么成功后会生成一个很长的key(加密后的)保存到cookie里,然后写一个拦截器,用这个key去远程请求验证在服务器端的db中是否存在这个key,存在就认为是合法的自动登录.但问题是,如果一个黑客把这个人的cookie copy到别的机器上,不一样也能实现自动登录了吗
3条回答 默认 最新
- zhouyangsky109 2011-11-02 10:28关注
这个key可以把电脑的相关信息,如ip,操作系统等,一起加进去,就算他拷到别处,拦截的时候去校验下这些电脑的信息就ok~
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报