gpt4 book ai didi

php - 实现记住我 - token 和系列

转载 作者:行者123 更新时间:2023-12-02 07:45:18 24 4
gpt4 key购买 nike

这篇 SO 文章中使用的系列和 token 名称是什么? - the best way to implement remember me

我理解使用随机数来确定是否应该记住用户的概念……这有点像隐藏登录……用户名/ token ( token 存储在 cookie 中)而不是用户名密码。但是系列标识符有什么用呢?它如何适应身份验证的大局。两者如何协同工作?

最佳答案

需要系列 token 来跟踪 token 更改的确切“链”属于同一用户。

这是重要的示例:

让我们假设站点使用这样的“记住我”实现。您已使用名称 A、系列标识符 B 和 token C 登录。之后我窃取了您的 cookie(无论如何窃取)。

所以我们现在都有 A:B:C 三联体。

现在过一会儿你进入站点(我还没有进入)。站点检查 A:B:C 三元组是否存在。是的,它确实。所以它将它从数据库中删除并创建另一个,A:B:D。

现在我尝试使用 A:B:C 输入。好吧,用户 A 的系列 B 存在,但 token 部分与 C 不匹配!= D。这意味着 cookie 已被盗并且两个 token 已失效 现在立即(并且用户被告知可能的 cookie 劫持)

关于php - 实现记住我 - token 和系列,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7466497/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com