自動登錄,系統將保存一個標志到用戶的CookIE,比如保存1個月等
用戶再次訪問時,需要判斷這個標志。
但如果這個標志被人竊取,那麼這個人將可以仿冒此人。
竊取我們是不能避免的。但我們可以最大限度的減少損害,特別是在知道被盜時。
我考慮的一個簡單做法
1 自動登錄的標志,要和當前的密碼和最後修改日期掛鉤。 也就是生成算法裡面要包含密碼和修改日期,當然生成的標志裡不會出現密碼明文了。
2 登錄時,根據當前密碼等再次計算標志,如果不等,則證明用戶已經修改了密碼,不能再次登錄
3 用戶修改密碼時,保存最後修改日期。
以上的步驟,唯一需要修改的就是標志的生成算法。但卻可以最大限度的保護用戶的信息。
用戶可以定期的修改一下密碼,這樣那些竊取的CookIE就失效了,因為最後修改日期不同了。