首頁(yè) 猿問(wèn) 感覺(jué)效率和安全性都不是很好啊？有什...

感覺(jué)效率和安全性都不是很好啊？有什么更好的方案嗎？

PHP

翻過(guò)高山走不出你 2023-04-25 20:16:56

本人比較菜，目前使用的方案是1.在客戶(hù)端COOKIES中保存用戶(hù)ID和一個(gè)加密碼（規(guī)則只有我知道）2.如果程序檢測(cè)到客戶(hù)端保存的COOKIES ID。就去跟數(shù)據(jù)庫(kù)驗(yàn)證加密碼，如果一致則返回對(duì)應(yīng)用戶(hù)的登錄信息，否則返回FALSE1.用戶(hù)訪(fǎng)問(wèn)每個(gè)頁(yè)面都要去跟數(shù)據(jù)庫(kù)驗(yàn)證一遍2.加密碼雖然規(guī)則很復(fù)雜，但是保存在客戶(hù)端依然存在被破解的可能性

查看完整描述

3 回答

縹緲止盈

TA貢獻(xiàn)2041條經(jīng)驗(yàn) 獲得超4個(gè)贊

cookie中怎么能夠保存密碼呢？

你的做法已經(jīng)可以了，不過(guò)有如下幾點(diǎn)建議:
1. 客戶(hù)端可以保存兩種數(shù)據(jù)，一種是原數(shù)據(jù)(比如user_id)，一種是對(duì)所有原數(shù)據(jù)的簽名(你所說(shuō)的加密碼)
2. 原數(shù)據(jù)的保存可以看具體情況保存原字符串或者可逆加密算法加密后的字符串
3. 針對(duì)所有的原數(shù)據(jù)的簽名的算法，最好是不可逆的
4. 服務(wù)器端只要獲取到原數(shù)據(jù)，重新計(jì)算簽名，比如和cookie中的簽名是否一致即可。

最簡(jiǎn)單的cookie的樣子:
A=uid=123&sign=xxxxxxxx

cookie生成方法:
sign = md5(secure_key + uid);
cookie = 'uid=' + uid + '&sign=' + sign
secure_key 是一個(gè)私有的串，誰(shuí)也不能告訴哦。

cookie校驗(yàn)的方法:
獲取到uid和sign之后
sign == md5(secure_key + uid)

當(dāng)然如果覺(jué)得md5不可靠的話(huà)，可以選擇更好的算法。

反對(duì) 回復(fù) 2023-04-28