如何在经典 ASP 中安全地设置基于 cookie 的身份验证？

Question

在经典 ASP 网站中使用 cookie 来验证用户身份的最安全方法是什么？

我不想使用 ASP Session 对象，因为会话 cookie 一段时间后就会超时，并且我希望用户能够在单独的浏览器运行之间保持对网站的登录处于活动状态。

但是，我不想只创建一个包含用户 ID 的 cookie，因为这很容易伪造 - 那么我在这里有什么选择呢？我猜想是某种加密，但我真的不知道这样做的标准方法是什么。

Answer 1

您在这里的选择非常有限。

让您的用户重新登录；最佳安全方法。

Answer 2

这显然不仅仅适用于 ASP。

最好的方法是对密码进行哈希处理...在任何将密码存储在数据库中的情况下都应该这样做。

散列是一种加密函数 - 当您通过它运行一个字符串（例如密码）时，您会得到一个长代码。如果输入相同，则输出始终相同。

但是（这是重要的一点）从数学上来说几乎不可能逆转这个过程 - 从散列值开始并计算出密码，除了暴力（有人对字典或随机字符串进行散列并查找与他们的散列相匹配的输出）有）。

因此，当用户设置帐户时，他们输入所需的密码，但您对其进行散列并存储。类似地，在 cookie 中，他们登录后，您存储哈希值，而不是密码，并将其与数据库中的哈希值进行比较。

缺点是您无法发送密码提醒，因为您不知道密码 - 您必须发送密码重置链接并有一个系统来执行此操作。

如果你真的很偏执，你可能会双重哈希，例如，当他们登录时，密码会被哈希一次并存储在 cookie 中。然后再次对其进行哈希处理，并与 db 中的密码（也是经过双重哈希处理）进行比较。

Answer 3

不要这样做

维护用户登录引用“...在单独的浏览器运行之间”是不安全的。恕我直言，当您关闭浏览器时，以前的登录信息应该会消失。假设您的访客在咖啡店使用社区电脑。

如果您保持此登录状态，则下一个社区用户可能会打开浏览器，导航到您的网站，并且“噗”他们会自动以以前的用户身份登录。