Сохранение информации для входа в файлы cookie

Я хочу сохранить информацию аутентификации пользователя в cookie браузера для постоянного входа в систему. Как говорится, никогда не безопасно хранить секретную информацию (например, пароль) в cookie, но для того, чтобы иметь такую ​​возможность, как «Запомнить пароль», я думаю, что другого выбора нет.

Итак, если пользователь хочет запомнить данные для входа в систему, и если я сохраню имя пользователя (адрес электронной почты) + не пароль, а другую уникальную информацию, такую ​​как HASHED DB ID в файле cookie. Затем я должен проверить, совпадает ли хешированный идентификатор, хранящийся в cookie, с адресом электронной почты пользователя, который хранится в cookie. Как я думаю, любой может легко увидеть файлы cookie, хранящиеся в браузере (например, в Firefox, Параметры -> Файлы cookie).

Будет ли это столь же слабым, как если бы кто-то прочитал cookie-файл с компьютера, на котором он был сохранен, а затем на другом компьютере установил cookie-файл с этой информацией, и он вошел бы в систему? (Поскольку сценарий будет проверять сохраненную электронную почту и хешированный идентификатор с базой данных, и он будет соответствовать)?

Можно ли немного улучшить этот подход без сохранения другой информации в базе данных (например, идентификатора сеанса и т. Д.)? Спасибо

8
задан Roman 14 June 2011 в 07:47
поделиться