HTML-如何安全的设计登录系统中的”记住密码“功能?

HTML-如何安全的设计登录系统中的”记住密码“功能?

晚风撩人 发布于 2017-10-22 字数 181 浏览 1383 回复 4

一般的实现是在cookie里保存一个散列值,然后设置的时间会比较长。
这样的话安全性就不能保证了。
有没有一个比较安全的解决方案,在满足用户便利性的同时,又不存在安全隐患?

如果你对这篇文章有疑问,欢迎到本站 社区 发帖提问或使用手Q扫描下方二维码加群参与讨论,获取更多帮助。

扫码加入群聊

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

晚风撩人 2017-10-28 4 楼

我纳闷了。这代码当你点击退出的时候无论是否是记住密码你不是都清空了cookie中保存的用户名和密码吗?当你进入登录页面的时候还是照样要输入用户名和密码啊!

泛泛之交 2017-10-27 3 楼

比较常用的处理方式,使用session,cookies来记住密码,实现如下:

一、检查用户是否登录

//检查用户是否登录
function checklogin(){
if(empty($_SESSION['user_info'])){ //检查一下session是不是为空
if(empty($_COOKIE['username']) || empty($_COOKIE['password'])){ //如果session为空,并且用户没有选择记录登录状
header(“location:login.php?req_url=”.$_SERVER['REQUEST_URI']); //转到登录页面,记录请求的url,登录后跳转过去,用户体验好。
}else{ //用户选择了记住登录状态
$user = getUserInfo($_COOKIE['username'],$_COOKIE['password']); //去取用户的个人资料
if(empty($user)){ //用户名密码不对没到取到信息,转到登录页面
header(“location:login.php?req_url=”.$_SERVER['REQUEST_URI']);
}else{
$_SESSION['user_info'] = $user; //用户名和密码对了,把用户的个人资料放到session里面
}
}
}
}

二、用户提交登录信息

username = trim($_POST['username']);
$password = md5(trim($_POST['password']));
$validatecode = $_POST['validateCode'];
$ref_url = $_GET['req_url'];
$remember = $_POST['remember'];
$err_msg = ”;
if($validatecode!=$_SESSION['checksum']){
$err_msg = ”验证码不正确”;
}elseif($username==” || $password==”){
$err_msg = ”用户名和密码都不能为空”;
}else{
$row = getUserInfo($username,$password);
if(empty($row)){
$err_msg = ”用户名和密码都不正确”;
}else{
$_SESSION['user_info'] = $row;
if(!empty($remember)){ //如果用户选择了,记录登录状态就把用户名和加了密的密码放到cookie里面
setcookie(“username”, $username, time()+3600*24*365);
setcookie(“password”, $password, time()+3600*24*365);
}
if(strpos($ref_url,”login.php”) === false){
header(“location:”.$ref_url);
}else{
header(“location:main_user.php”);
}
}
}

三、当用户点退出时,清出记录登录状态

 //退出登录
function logout(){
unset($_SESSION['user_info']);
if(!empty($_COOKIE['username']) || !empty($_COOKIE['password'])){
setcookie(“username”, null, time()-3600*24*365);
setcookie(“password”, null, time()-3600*24*365);
}
}

想挽留 2017-10-24 2 楼

在不能保证绝对安全得前提条件下,个人觉得这是一个伪命题,因为无论采用何种方式记住密码(标识),首要一点是(作为客户端的)电脑要记住,那么任何可以获取这个标识的途径都是作为远程的服务端控制不了的,那么即使这个标识生成的方式再复杂,也不可能说“不存在安全隐患”,所以才会有提供记住密码功能的网站有“请在个人电脑上勾选”这样明确的让用户知道这样做有安全隐患的提示。

以上所说的内容仅仅是为了说明:使用一个相对门槛高点的方式记录密码即可,不用那么刻意追求所谓的安全性很高的方式,例如你可以让密码只记住3天,然后这个标识生成后有效期只有3天,这样即便失去了这个标识,3天后就失效了,这样相对来说就比标识一直可以用的方式门槛提高了,并且也带来3天的便利性。

其实最后想说一句:怎么保证电脑不中病毒?拔掉你电脑的电源线,这样最安全了!

想挽留 2017-10-24 1 楼

我想到两种方法,但是不知可行不, 因为没有试验.
1. 不使用表单来传递密码和账号
2. 使用表单,但是使用ajax来实现登陆, 浏览器记住密码的行为好像都发生在提交这个时候