专家们,
我们希望为未来的项目提供更安全的登录系统,而不是使用会话状态来判断用户是否已登录。如果我理解正确,通过表单身份验证认证用户后,将在用户的计算机上生成一个cookie。那么这个cookie有多安全?它是否容易被类似于会话劫持的方式劫持?如果用户不接受cookies怎么办?是否有更好的方法值得我去了解?
提前致谢。
专家们,
我们希望为未来的项目提供更安全的登录系统,而不是使用会话状态来判断用户是否已登录。如果我理解正确,通过表单身份验证认证用户后,将在用户的计算机上生成一个cookie。那么这个cookie有多安全?它是否容易被类似于会话劫持的方式劫持?如果用户不接受cookies怎么办?是否有更好的方法值得我去了解?
提前致谢。
用户的会话ID不作为身份验证cookie的一部分使用 - 身份验证cookie和会话cookie是分开的。
为了防止会话劫持,请阅读此文章Foiling Sessiong Hijacking Attempts。