dongshou1856 2012-07-18 10:35
浏览 26

用户登录/记住我/禁令系统

I currently have it that when a user logs in their username and userid are saved in a cookie. As this isn't the most secure method i now plan on changing the method;

When the user logs in, a unique token is saved in the cookie. The username, userid, banned boolean and unique token are stored a session. The token in the cookie has to match the token in the session to be logged in.

I've thought about storing the token in the database? Alot of times in my code i quickly require the username and userid, so storing in a session is the most logical idea to me instead of always querying the database.

Anyway, is my method appropriate?; if not, what is a proven method?

  • 写回答

1条回答 默认 最新

  • dtuqxb3884 2012-07-18 19:06
    关注

    Your method sounds appropriate. It's not clear to me where you plan to store the session object, but I think it's fine to store it in a session table in the database. It's true that this requires a database query to retrieve the session from the database before rendering every page (for example, you probably want to redirect to the login page if the session token is bad), but that is not a performance problem in my experience. As a bonus, once you have a session table, you can run interesting queries on it to track the usage of the Web app.

    My copy of Programming PHP says "The best way to maintain state with PHP is to use the built-in session tracking system." You should consider that before writing your own.

    Whatever approach you take, you should probably make sure that the session token is generated randomly, and expires after a reasonable time. Otherwise an attacker could forge a session token by guessing it, or steal someone else's session token and hijack their session.

    评论

报告相同问题?

  • 正则表达式解析html 用java语言
    2010-06-03 10:43
    回答 4 已采纳 [color=blue]将所有的标记全部替换为空就可以了, 剩下的 ><等特殊符号自己替换[/color] [code="java"]"html代码".replaceAll("]*?&g
  • 使用Rauth控制用户对类和方法的访问
    2020-08-29 21:46
    culi3118的博客 取决于您如何实际获得这些属性–也许您将使用某种诸如Gatekeeper之类的预制软件包,或者您将使用自己的身份验证系统,这无关紧要。 重要的是Rauth以类似于类/方法要求的格式获取属性。 A note on modes: If a user ...
  • 10 种网页抓取而不会被阻止的方法
    2023-08-06 14:52
    无水先生的博客 ✅ 浏览器指纹识别 旋转无头浏览器 ✅ 蜜罐陷阱 跳过不可见链接和循环引用 ✅ 可疑请求的验证码 高级代理和类似用户的请求 ✅ 始终在线的验证码 验证码解决工具和服务 ❌ 请记住,即使在应用这些提示后,您也可能被...
  • TP5后端,VUE前端请求聚合数据驾照题库
    2021-12-15 16:55
    叫我福建的博客 选择效果: 演示效果: 1: Vue 配置: /config/index.js 'use strict' // Template version: 1.3.1 // see ... const path = require('path') ...module.exports = { ... assetsSubDirectory: 'static',
  • Bitnami Redmine安装程序 --文档
    2018-07-27 13:48
    weixin_34122604的博客 Redmine是一个流行的开源项目管理和问题跟踪平台,涵盖多个项目和子项目,每个项目和子项目都有自己的一组用户和工具,来自同一个地方. 试用OS X VM for Mac (测试版).这款新产品让您只需点击几下即可在Mac上轻松...
  • 论文翻译:《一个包容性设计的具体例子:聋人导向可访问性》
    2019-04-19 15:47
    0MLM0的博客 事实上,设计用户界面(ui)已经发展成为设计更全面的用户体验(UX)。尽管如此,虽然全球显然可以获得各种数字设备和资源,HCI的研究和实践仍然面临许多挑战。从社会角度看,它最宝贵的成就之一将是使有特殊需要的人...
  • 《大型网站技术架构 核心原理与案例分析》读书笔记
    2017-04-15 18:54
    bin_csdn_的博客 2003年,花3000美金买来的淘宝网站使用PHP开发的,淘宝的工程师做了简单的汉化处理,并对数据库做了读写分离。 像我们见过的绝大多数中小网站一样,当年的淘宝网使用典型的Linux+Apache+Mysql+PHP(LAMP)架构。...
  • RFC3920中文(XMPP)
    2015-01-06 19:13
    一叶知秋dong的博客 本文转自http://wiki.jabbercn.org/index.php?title=RFC3920 可扩展的消息和出席信息协议 (XMPP): 核心协议 关于本文的说明 本文为互联网社区定义了一个互联网标准跟踪协议,并且申请讨论协议和...
  • 6.25科技新闻2
    2013-06-25 21:27
    denghp83的博客 我申请了谷歌的职位,觉得被谷歌雇佣能让我成为“真正的工程师”——对于我这个没有一纸文凭的人来说,这就是我为之奋斗已久的理想。但是,我一直没有收到谷歌的回音,而我对此并不感到惊讶。  一年之后,我...
  • RFC3920中文
    2012-03-19 21:52
    abcpanpeng的博客 本文转自http://wiki.jabbercn.org/index.php?title=RFC3920 可扩展的消息和出席信息协议 (XMPP): 核心协议 关于本文的说明 本文为互联网社区定义了一个互联网标准跟踪协议,并且申请讨论协议和提出...
  • CNSCN安全检测[转]
    2006-11-22 16:21
    artideaweb的博客 太好了,系统管理员的搜索路径中用"." , 说明如果根用户发出命令ls而且根用户当前所在目录中有叫这个名字的程序,./ls 将被执行而不是执行/bin/ls (另一种常见错误是对/root的读甚至是写访问) 八)在/tmp中设一个...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 python的qt5界面
  • ¥15 无线电能传输系统MATLAB仿真问题
  • ¥50 如何用脚本实现输入法的热键设置
  • ¥20 我想使用一些网络协议或者部分协议也行,主要想实现类似于traceroute的一定步长内的路由拓扑功能
  • ¥30 深度学习,前后端连接
  • ¥15 孟德尔随机化结果不一致
  • ¥15 apm2.8飞控罗盘bad health,加速度计校准失败
  • ¥15 求解O-S方程的特征值问题给出边界层布拉休斯平行流的中性曲线
  • ¥15 谁有desed数据集呀
  • ¥20 手写数字识别运行c仿真时,程序报错错误代码sim211-100