В течение времени, которое я проводил в перерывах от изучения того, как PHP поддерживает Unicode, я старался сделать свои cookie-файлы «Помни меня» немного более безопасными. Однако есть несколько вещей, которые я не понимаю, и некоторые из моих собственных размышлений, о которых я хотел бы услышать некоторые предложения и мнения.
1) Есть ли способ применить функцию «Запомнить меня», в которой не используются файлы cookie? Любопытно, потому что есть очевидные недостатки безопасности в хранении куки аутентификации. Не то, чтобы не было угроз безопасности практически во всем.
2) Поскольку я не работаю с банком или «конфиденциальной» информацией, необходимо ли требовать, чтобы пользователи вводили свои пароли для более «важных» областей? Кажется, что запоминание логина было бы напрасной тратой, если бы мы просто попросили их войти в систему в любом случае через две минуты.
3) Какой самый лучший метод для хранения файла cookie аутентификации (кроме «совсем нет»)? В настоящее время я закодировал эту область для установки одного токена в куки (хэшируется с использованием time (), их пользовательского агента, remote_addr и соли - sha256). Когда указанный пользователь возвращается, он проверяет таблицу «сессий» на наличие токена, затем сопоставляет IP-адрес и IP-адрес, чтобы зарегистрировать их. Если токен существует, но IP-адрес не совпадает, он молча сбрасывает cookie и просит их войти в систему как если у них не было одного.
Еще раз спасибо всем.