security - 这是实现 'remember me' 功能的合理方法吗

Question

如果用户登录网站并说“记住我”，我们会获取该用户的唯一标识符，使用 key 大小为 256 的 RijndaelManaged 对其进行加密，并将其放置在设置过期时间的 httponly cookie 中。 . 120天，每次成功向服务器请求都会刷新过期时间。

我们可以选择根据用户代理和部分 ipv4 地址(最后两个八位字节)生成初始化向量。

显然，其中没有内置真正的过期系统，从技术上讲，用户可以永远使用这个加密 key (假设我们不更改服务器端 key )..

我考虑到这样一个事实:为了允许此功能，我需要允许用户能够绕过登录并给我他们唯一的 id(这是一个 guid)，我认为单独的 guid 真的很难猜出真正的用户 guid，但会使网站容易受到生成 guid 的僵尸程序的攻击(我不知道他们找到合法的 guid 有多现实).. 所以这就是为什么在服务器知道加密 key 的情况下进行加密，并且iv 可选地特定于浏览器和 ip 部分。

我是否应该考虑采用不同的方法，让服务器发出与用户关联的票证，并且这些票证具有已知的到期日期，以便服务器保持对到期的控制？我真的应该关心过期吗？记住我到底是记住我吗？

期待被谦卑;),干杯。

Answer 1

Very similar question.

您的问题的解决方案就在这个blog post中

"Persistent Login Cookie Best Practice," describes a relatively secure approach to implementing the familiar "Remember Me" option for web sites. In this article, I propose an improvement that retains all the benefits of that approach but also makes it possible to detect when a persistent login cookie has been stolen and used by an attacker.

正如 Jacco 在评论中所说:有关安全身份验证的深入信息，请阅读 The Definitive Guide To Website Authentication .