Задать вопрос
Screatch
@Screatch
Ruby On Rails front-end developer
codeigniter

Реализация функционала "Запомнить меня"?

Ломаю голову над реализацией функционала «Запомнить меня». Пока сошёлся на том что каждый раз когда пользователь заходит на сайт с галкой «Запомнить меня», в базу записывается новый случайно сгенерированный токен. В куку в зашифрованном виде записывается user_id и token.



В расшифрованном виде кука выгляит следующем образом

1-dfbb8bd5b577615c95cd2c2qc3fad362<br/>



где 1 это id пользователя а через тире соответственно сам токен.



В зашифрованном виде кука выглядит примерно так:

BjMHKQe0vNPBuLBNVXw3xJAOdnIK1OlS3bGrjB3O1gl2H1gqOZ4k7yPT3VPEUke7J%2BbzHDzUMCuF%2FWeLVBsM7Q%3D%3D-t20GNsMOkstr6HD3W%2FKlb56%2FZj9cuinwYrk8QTvFxK5Z8d2jM8ntLv1WxnfagirzgQSxqDsEHj1HaBXIYXeBbQ%3D%3D




При входе, происходит расшифровка куки и проверка, если токен из куки совпадает с токеном в базе, происходит вход.



И всё вроде бы работает, но меня гнетёт мысль, что если кука будет похищена, злоумышленник получит полный доступ над аккаунтом.



Как ещё можно предохраниться?
  • Вопрос задан
  • 18454 просмотра
Комментировать
Подписаться 9 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
david_mz
@david_mz
веб-разработчик: php, javascript, go
Тема давняя, но на случай если кто-то ещё сюда зайдёт — есть вот такой вариант работы с авторизационными куками: david-m.livejournal.com/1267236.html
Ответ написан
Комментировать
Комментировать
TheHorse
@TheHorse
Можно просто указывать expires на пару лет вперед при установленной галочке.
Ответ написан
2 комментария
2 комментария
xaker1
@xaker1
Я реализовывал не много проще. Кука «запомнить меня» — кидается кука, в которой md5 склейки id+md5(passwd)+ip
+ еще одну куку с логином.
Если такая кука есть — берем из базы соответствующие данные пользователя, проверяем склейку — если верно то авторизовываем. Изменился ip — запомнить меня не срабатывает.
Можно для большей надежности еще и данные о браузере в склейку писать.
Ответ написан
1 комментарий
1 комментарий
VenomBlood
@VenomBlood
Полный доступ не получит. Ведь для смены e-mail/логина/пароля — нужно ввести текущий пароль, и есть кука — нет куки — не важно.
Ответ написан
1 комментарий
1 комментарий
@FedLab
как вариант — привязка к ІР (или части его на крайний случай)
как вариант токен формировать с учетом «HTTP_USER_AGENT»
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий системный аналитик
Сбер Москва
от 240 000 ₽
DevOps Engineer/System Administrator
Freuders
от 4 000 $
Senior PHP Программист
Автомакон
от 287 000 до 440 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Расшифровать требуемые параметры из CAN-шины авто Chery Tiggo 7 Pro
23 дек. 2024, в 00:27
20000 руб./за проект
Отправка команды на (раз)блокировку двигателя Chery Tiggo 7 Pro
23 дек. 2024, в 00:15
20000 руб./за проект
Собрать из исходного кода и запустить в докере рабочее приложение с бд
22 дек. 2024, в 22:57
500 руб./за проект
Ещё заказы