Se un utente accede al sito e dice "ricordami", otteniamo l'identificatore univoco per l'utente, crittografalo con RijndaelManaged con una dimensione di 256 e posto questo in un cookie httponly con una scadenza impostata di dire .. 120 giorni, la scadenza viene aggiornata ogni richiesta riuscita al server.Si tratta di un modo ragionevole per implementare la funzionalità "ricordami"
Opzionalmente si genera il vettore di inizializzazione basato sull'agente utente e parte dell'indirizzo ipv4 (gli ultimi due ottetti).
theres Ovviamente nessun sistema reale di scadenza incorporata in questo, l'utente potrebbe tecnicamente utilizzare questa chiave crittografata per sempre (dato non cambiamo la chiave lato server) ..
ho considerato il fatto che per consentire questa funzione Devo consentire all'utente di essere in grado di ignorare il login e darmi il proprio ID univoco (che è un guid), ho capito che il guid solo era davvero difficile indovinare un vero guidatore degli utenti, ma avrebbe lasciato il sito aperto all'attacco di botnots che generano guids (non ho idea di quanto sia realistico per loro trovare un legittimo guidatore) .. quindi questo è il motivo per cui c'è crittografia dove il server conosce la chiave di crittografia, e facoltativamente l'iv è specifico per il browser e la parte ip.
Devo prendere in considerazione un approccio diverso in cui il server emette ticket associati a un utente e questi biglietti avrebbero una data di scadenza nota, quindi il server mantiene il controllo della scadenza? dovrei davvero preoccuparmi della scadenza? ricordati di me mi ricordi dopotutto?
In attesa di essere umiliato;), Saluti.
possibile duplicato di [Qual è il modo migliore per implementare "ricordami" per un sito Web?] (Http: // StackOverflow.it/questions/244882/what-is-the-best-way-to-implement-remember-me-for-a-website) – user