gpt4 book ai didi

php - 记住我 cookie 伪造

转载 作者:行者123 更新时间:2023-12-03 23:01:24 25 4
gpt4 key购买 nike

当用户登录并选中“记住我”框时,我会为它生成一个 key (md5 上非常随机的数字)并保存在它的 cookie 上。如果用户未登录,我的代码会检查“记住我的 key ”cookie,如果它与用户匹配,则他已登录。

我的问题是,如何阻止用户处理他们的记住我 key cookie 并将其传递给他们的 friend ?因为如果他们这样做,复制 cookie 的人将在不知道帐户密码的情况下登录,然后他们无需购买就可以访问高级帐户。

我不能将 key 绑定(bind)到 ip,否则记住我将无法正常工作,因为很多计算机经常更改 ip。我想保存用户代理和其他浏览器信息,你怎么看?

最佳答案

您可以通过在每次使用 cookie 时重新生成 key 来检测 cookie 的共享。如果有人将记住我的 cookie 给了其他人(或者它被偷了)并且他们都使用了它,那么他们在使用他们的 cookie 后都会得到不同的 key 。

只允许每个帐户使用最近生成的 key 。如果有人使用与数据库值不匹配的 key ,则使与该用户关联的所有 session 无效。

关于php - 记住我 cookie 伪造,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14413592/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com