Cookies 的无奈~~~

coolfax

:(

现在网上主要身份验证主要是使用Session和Cookies

说实在,我编程是比较喜欢使用Cookies的

因为它可以保存很长时间,不必每次都要输入用户名和密码

但是Cookies的不安全也是人所周知的

今天对我写的ASP.NET模拟测试cookie欺骗

结果cookie欺骗成功,成功入侵

;13

有人说,同时使用Session和Cookies才是安全的做法

但是Session过了有效期就不行了,结果还是要倚赖不安全的Cookies


不知道还有什么其他好的解决方法?

leixia

建一个global的对象，里面放着用户登录状态的信息，pageload的开始时候再把对象serialize到memorystream里面写到一个visable=false的textbox里面，pageload最后产生(deserialize)对象，这样就根本没用session和cookie了，也就没有session的timeout问题和cookie不安全的问题了。但是无法在客户端自动登录了。对象也不会一直存在在内存中浪费空间，还可以用这个对象来在页面间传递其他参数。省了有的时候只能用get方式来传递参数那长长的不安全的url了。而且在用户post页面之前重启服务器也都不影响验证了，只是个idea，不过应该都可以实现

coolfax

我的想法是:

继续使用Cookie,把用户名和密码保存在Cookie

然后打开网页的时候,网页先读取Cookie,然后连接到数据库,判断用户名和密码是否正确

然后生成一个Session,保存了用户已经通过验证的消息

当这个Session存在的时候,用户打开其他网页就不必验证Cookie,也不必打开数据库验证,这样就减少了消耗的时间

当然,如果20分钟后Session过期了,再重复上面的动作

;13