Если пользователь заходит на сайт и говорит «помни меня», мы получаем уникальный идентификатор для пользователя, зашифруем его с помощью RijndaelManaged с ключом 256 и местом это в httponly cookie с истечением срока действия. 120 дней, срок действия обновляется каждый успешный запрос на сервер.Является ли это разумным способом реализации функции «запомнить меня»
При необходимости мы генерируем вектор инициализации на основе пользовательского агента и части адреса ipv4 (последние два октета).
Очевидно Тереза нет реальной системы истечения встроенной в это, пользователь может технически использовать этот зашифрованный ключ навсегда (учитывая мы не изменяем ключ на стороне сервера) ..
я считал тот факт, что разрешить эту функцию Мне нужно разрешить пользователю иметь возможность обойти логин и дать мне свой уникальный идентификатор (который является ориентиром), я полагал, что руководство было действительно сложно угадать реального пользователя, но оставило бы сайт открытым для атаки botnots, генерирующие подсказки (я понятия не имею, насколько реалистично для них найти законное руководство). Поэтому вот почему шифрование theres, где сервер знает ключ шифрования, и, необязательно, iv специфичен для браузера и ip-части.
Должен ли я рассматривать другой подход, когда сервер выдает билеты, связанные с пользователем, и эти билеты имеют известную дату истечения срока действия, чтобы сервер оставался под контролем истечения срока действия? Должен ли я действительно заботиться об истечении срока? помнишь меня помнишь меня ведь?
Ожидание смирения;), Cheers.
Возможный дубликат [Что является лучшим способом реализовать «запомнить меня» для веб-сайта?] (Http: // stackoverflow.com/questions/244882/what-is-the-best-way-to-implement-remember-me-for-a-website) – user