当前我将用户密码以纯文本存储在会话中。然后用CCD_ 1进行比较。我认为它确实效率低下,安全性差。
第二种方法可以是只检查一次(而不是将密码明文存储在会话中),然后在用户是否登录时存储布尔值。只有一个问题;如果用户更改了密码怎么办?然后用户仍然会在其他设备上登录,这当然是不好的。等等。用户可能想更改密码,因为他/她忘记在公共计算机上注销。
我如何解决方法二的问题,什么是"正确"的方法?
您可以将密码更改的日期存储在数据库中,并将其与会话创建日期进行比较。如果在会话开始后更改了通行证,则可以清除会话用户数据