目前我正在与cakehp合作,并在我的项目中实现用户管理。今天,我在用户会话中遇到了一个问题。我已经生成了一个cookie来记住加密格式的用户密码如果用户会话过期,cookie将恢复会话。现在我已经尝试将cookie从chrome转移到Mozilla使用cookie管理器插件。我发现自己在两个浏览器中都登录了什么是防止这种情况发生的最佳方法。??
您无法阻止这种情况。但是,当用户启动一个新会话时,您可以通过在服务器端生成会话值来减少问题,该会话值是由生成的一些散列
- 会话ID
- 用户代理(攻击者必须使用/欺骗同一客户端)
- 可能是IP(只适用于固定设备,但会使攻击者更难使用)
现在,当登录用户试图查看要求您登录的页面时,您可以比较更多的细节,而不仅仅是会话查找。
恶搞并非不可能,但这减少了问题。该散列不应该实际发送到客户端,而应该保存在会话信息服务器端。