#cookie
如果儲存登入資料在使用者cookie file裡面,當使用者下載到病毒時,病毒程式碼盜取cookie file就獲得了username和password,即使先加密再存成cookie,盜取者依然可用加密的結果登入。
解法:不存任何使用者端的東西,cookie儲存後端確認帳號密碼正確後吐回的東西,通常後端會根據使用者的id, ip, token(隨機生成), date生成登入資料,儲存在資料庫,吐回的東西裡地理ip難以偽造,所以即使cookie被盜也無妨
缺點:如果使用者關閉cookie(隱私意識抬頭),它就無法登入網站了,需指示使用者開啟cookie。(在google與facebook測試皆是如此)
用於「前端和Class在一起」以及「前端接API」
#session
缺點:無法記錄登入狀態,每次都要重新登入,當使用者關閉網站或斷線後,伺服器session file會自動刪除
只用於「前端和Class在一起」
沒有留言:
張貼留言