Si un usuario inicia sesión en el sitio y dice 'recordarme', obtenemos el identificador único para el usuario, encriptamos esto con Rijndael administrado con un tamaño de clave de 256 y colocamos esto en una cookie httponly con un vencimiento establecido de, por ejemplo, 120 días, la caducidad se actualiza cada vez que se solicita con éxito al servidor.¿Es esta una forma razonable de implementar la funcionalidad 'recordarme'
Opcionalmente generamos el vector de inicialización basado en el agente de usuario y parte de la dirección ipv4 (los dos últimos octetos).
theres Obviamente hay un sistema de caducidad real, construida en esto, el usuario podría utilizar esta técnica clave encriptada para siempre (dado que no cambiamos la clave del lado del servidor) ..
que considera el hecho de que esta característica para permitir Necesito permitir que el usuario pueda eludir el inicio de sesión y darme su id. Único (que es un guid), pensé que el guid solo era realmente difícil de adivinar el guid de un usuario real, pero dejaría el sitio abierto para atacar botnots generando guids (no tengo idea de qué tan realista es para ellos encontrar un guid de fiar) ... así que esta es la razón por la cual hay cifrado donde el servidor conoce la clave de cifrado, y opcionalmente el iv es específico para el navegador y la parte de IP.
¿Debería considerar un enfoque diferente en el que el servidor emita tickets asociados a un usuario, y estos tickets tendrían una fecha de caducidad conocida para que el servidor tenga el control de la caducidad? ¿De verdad me importa la expiración? recuerda, ¿me recuerda después de todo?
Esperando ser humillado;), Saludos.
posible duplicado de [¿Cuál es la mejor manera de implementar "recordarme" para un sitio web?] (Http: // stackoverflow.com/questions/244882/what-is-the-best-way-to-implementation-remember-me-for-a-website) – user