这是实现“记住我”的合理方式吗？ 功能性

Question

如果用户登录网站并说“记住我”，我们就会获取该用户的唯一标识符，使用 RijndaelManaged 对其进行加密，密钥大小为 256，并将其放置在 httponly cookie 中，设置有效期为 120 天。 ，每次成功向服务器请求都会刷新过期时间。

我们可以选择根据用户代理和部分 ipv4 地址（最后两个八位字节）生成初始化向量。

显然，这里没有内置真正的过期系统，从技术上讲，用户可以永远使用这个加密密钥（假设我们不更改服务器端密钥）。

我考虑了这样一个事实：为了允许此功能，我需要允许用户能够绕过登录并给我他们唯一的ID（这是一个guid），我认为单独的guid真的很难猜测真正的用户guid，但会使网站容易受到生成guid的僵尸程序的攻击（我没有知道他们找到一个合法的 GUID 是多么现实）.. 所以这就是为什么服务器知道加密密钥的加密方式，并且可选地 iv 特定于浏览器和 ip 部分。

我是否应该考虑采用不同的方法，其中服务器发出与用户关联的票证，并且这些票证具有已知的到期日期，以便服务器保持对到期的控制？ 我真的应该关心过期吗？ 记住我到底是记住我吗？

期待被谦卑;), 干杯。

Answer 1

非常相似的问题。

您的解决方案问题在这篇博客文章中

“持久登录 Cookie 最佳
实践”描述了一个相对
安全的方法来实施
熟悉的网络“记住我”选项
网站。 在这篇文章中，我提出了一个
保留所有的改进
这种方法的好处，而且
使得能够检测到何时
持久登录 cookie 已
被攻击者窃取和使用。

正如 Jacco 在评论中所说：有关安全身份验证的深入信息，请阅读 网站身份验证权威指南。

Answer 2

您是否考虑过类似 Open Id 之类的东西？ 正如SO所使用的那样。

Answer 3

被记住的信息有多重要？ 如果不是非常个人或重要的内容，只需将 GUID 放入 cookie 中即可。

在计算中包含 IP 地址可能是一个坏主意，因为它会让使用公共网络的用户立即被遗忘。

使用暴力来查找 GUID 是荒谬的，因为有 2¹²⁸ 种可能性。