Dies ist ein Zweig einer anderen Frage: Was ist der beste Weg zu implementieren? Erinnere dich an mich "für eine Website?
Die beste Antwort lautet: Ссылка
Eine Zusammenfassung:
Verwenden Sie eine Zufallszahl als Serien-Token und eine andere als Login-Token. Legen Sie diese zusammen mit dem Nutzernamen in den Cookie "Angemeldet bleiben". Weisen Sie einen zweiten, normalen Session-Cookie zu. Jedes Mal, wenn ein Benutzer ankommt Ohne einen Session-Cookie konsumieren Sie den Cookie Angemeldet bleiben. Ausgabe a Neues, dieses Mal mit einem neuen zufälligen Login Token, der die Serie hält Token das gleiche.
Warum sollte der Benutzername hinzugefügt werden? Wie hilft das? Das Series Token sollte ausreichen, um den Benutzer und die Serie zu identifizieren. Das Series Token wurde in diesem Ansatz hinzugefügt, um eine DoS-Attacke zu verhindern, bei der ein Angreifer nur alle Benutzernamen erraten und die Site auf einmal antrifft und alle anderen abmeldet. Aber warum macht es Sinn den Benutzernamen überhaupt zu lassen?
Der Benutzername und die Nummer werden vor der Ausgabe eines neuen Sitzungscookies als Paar auf dem Server nachgeschlagen. Ohne den Benutzernamen wäre es weniger sicher (könnte mit einem anderen Benutzer abgespielt werden, wenn Sie die Nummer gestohlen haben) und schwieriger zu suchen.
Meine Vermutung:
Der Benutzername dient zur Überprüfung. Wenn Sie möchten, dass der Client sie zusammen mit dem Token zur Authentifizierung sendet, wissen Sie, welcher Benutzer versucht, sich zu authentifizieren. Damit können Sie auf eine vernünftige Art reagieren, dass das Token falsch ist.
Wenn Sie während auth nur nach dem Token fragen, dann wissen Sie nicht, welcher Benutzer es tatsächlich versucht, und bei einer Übereinstimmung gewähren Sie jemandem nur Zugriff, können aber nichts bei fehlschlagen. Jemand kann einfach versuchen, blind über sie hinwegzugehen.
In diesem Sinne sagen wir, dass wir uns sowohl mit dem Benutzernamen als auch mit dem Token begnügen. Wenn das Token falsch ist, können wir alle anderen Tokens für diesen Benutzer entfernen. Aber das öffnet das System für DOS. Angreifer kann jeden nach Belieben ausloggen. Also für diese Serie wird hinzugefügt.
Es muss kein Benutzername sein, einige andere Informationen, die es erlauben, den Benutzer zu identifizieren, werden auch funktionieren.
Tags und Links session-cookies stay-logged-in