it-swarm.it

Come utilizzare i cookie in modo sicuro per autenticare gli utenti?

Nella maggior parte dei casi, mi piace usare i cookie per ricordare di aver restituito gli utenti ai miei siti Web.

Nei miei primi giorni/sciocchi, avrei archiviato un UserID (numero intero autoincremento) in un cookie e se l'utente fosse tornato avrei usato quel valore di cookie per accedere automaticamente. Questa è stata una cattiva idea perché qualcuno potrebbe facilmente modificare il cookie per utilizzare un numero intero diverso e accedere come qualcun altro.

È corretto memorizzare un ID utente nello stesso modo se l'ID utente è un GUID?

Quali sono le migliori pratiche per la memorizzazione dei cookie "Ricordami"?

7
jessegavin

Dovresti considerare di usare sessioni per gestire questo tipo di scenario.

Le sessioni generalmente funzionano generando un unico GUID per l'autenticazione dell'utente e salvandolo in un cookie sul computer locale dell'utente o passandolo da una pagina all'altra tramite l'URL.

Questa sessione GUID punta a una voce di file o database sul server che può quindi essere letta e scritta dal codice sorgente, associando GUID nel cookie/URL dell'utente al GUID del file o della voce del database che contiene i tuoi dati.

In genere è sicuro inserire dati più sensibili (come l'ID utente) nelle sessioni poiché nulla è visibile all'utente finale tranne il GUID della sessione.

La maggior parte delle lingue basate sul web avrà una sorta di gestione della sessione integrata.

2
Nat Ryall

Salva due cookie:

  • UserId: contiene l'id utente
  • Password: contiene SHA1 della password dell'utente

Molto facile e sicuro. Ricorda l'attributo HttpOnly .

1
Thomas Bonini