MyException - 我的异常网
当前位置:我的异常网» ASP.NET » 100分请问一个有关问题

100分请问一个有关问题

www.MyException.Cn  网友分享于:2015-08-26  浏览:9次
100分请教一个问题
当我登录成功之后,保存客户端账号和密码在cookie里面,密码经过了md5加密,这样也可以让用户设置自动登录。

那么我在一些需要获取用户信息的页面,是根据客户端提交的cookie中的账号来去数据库获取,那么如果客户端伪造一个cookie呢,它伪造的一个cookie的值是其他用户的账号,那么我是不是需要每次都去进行一次数据匹配,去匹配我的账号和密码是否对应

------解决方案--------------------
账号你可以明文保存在COOKIE
然后再保存一个 MD5(账号+密匙)的值,密匙是一个不让人知道的字符串
这样就可以直接从COOKIE明文获取账号,但记得要做对比,除非知道密匙,否则不能伪造的。
而且这样也不用读数据库。
------解决方案--------------------
基于这个基础,还可以保存个时间信息,做个时间判断,让这个加密值只在一定时间内有效,这样就更加安全了。

探讨
账号你可以明文保存在COOKIE
然后再保存一个 MD5(账号+密匙)的值,密匙是一个不让人知道的字符串
这样就可以直接从COOKIE明文获取账号,但记得要做对比,除非知道密匙,否则不能伪造的。
而且这样也不用读数据库。

------解决方案--------------------
可以单独写套加密算法,别人不知道加密算法是伪造不了的。
------解决方案--------------------
可以不需要每次都去匹配,当你刚你进入系统的时候去判断下session是否存在,如果存在就直接访问。如果不存在就拿cookie中的数据去数据库匹配下,然后保存到session中。
------解决方案--------------------
没必要把密码也放入COOKIE
------解决方案--------------------
写一套自己的加密算法

有密钥,这样别人不知道这个密钥的话,是不能伪造的
------解决方案--------------------
是的。账号+密匙再MD5。

探讨
客户端保存账号肯定是明文保存卅,你的意思是cookie里保存一个字符串,字符串由账号+密码构成,然后每次去匹配账号和这个加密的字符串?

引用:

账号你可以明文保存在COOKIE
然后再保存一个 MD5(账号+密匙)的值,密匙是一个不让人知道的字符串
这样就可以直接从COOKIE明文获取账号,但记得要做对比,除非知道密匙,否则不能伪造的。
而且这样也不用读数据库。
……

------解决方案--------------------
我纯粹只是想说:

- -不要相信这些可爱的孩子的建议
“自己写一套加密方法”是这个世界上最天真可笑的建议 没有之一
除非你自己是顶尖的数学家 否则你设计的任何算法都不会有现在市面上正在使用的加密算法安全性更好

另外 其实你根本就不需要保存用户的密码 甚至账号信息都不要 而是保存一个token就可以了
最简单无聊的做法之一就比如:用户登录的时候 直接生成一个guid(无脑吧?) 把用户的账户和这个guid存在一个地方(服务器上的 数据库啊还是神马的自己看着办) 然后把token写到用户的cookie里面去

用户在此访问的时候拿cookie里面的token去找这家伙的记录在不在 有没过期 如果答案是OK 自动登录 如果不OK 让他该干嘛干嘛去
------解决方案--------------------
这样搞基本上绝对没人能伪造cookie(包括你自己在内)
因为你自己都不会知道token应该是什么~
------解决方案--------------------
建议 session 过期就做做匹配,我的做法是 用户Id + 二次MD5+DES加密的密码

文章评论

2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
程序员必看的十大电影
程序员必看的十大电影
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
10个调试和排错的小建议
10个调试和排错的小建议
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
中美印日四国程序员比较
中美印日四国程序员比较
一个程序员的时间管理
一个程序员的时间管理
我的丈夫是个程序员
我的丈夫是个程序员
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
 程序员的样子
程序员的样子
程序员应该关注的一些事儿
程序员应该关注的一些事儿
如何成为一名黑客
如何成为一名黑客
漫画:程序员的工作
漫画:程序员的工作
程序员都该阅读的书
程序员都该阅读的书
旅行,写作,编程
旅行,写作,编程
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
程序员的鄙视链
程序员的鄙视链
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
总结2014中国互联网十大段子
总结2014中国互联网十大段子
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
那些争议最大的编程观点
那些争议最大的编程观点
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
鲜为人知的编程真相
鲜为人知的编程真相
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
老程序员的下场
老程序员的下场
每天工作4小时的程序员
每天工作4小时的程序员
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
我是如何打败拖延症的
我是如何打败拖延症的
代码女神横空出世
代码女神横空出世
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有