روش پیاده سازی "من را به خاطر بسپار" برای پسورد در یک وب سایت چگونه است؟

Question

روش پیاده سازی "من را به خاطر بسپار" برای پسورد در یک وب سایت چیست؟ آیا باید از cookie استفاده شود یا session؟ چگونه امنیت حفظ می شود؟ آیا روش های مختلفی برای این کار وجود دارد؟

Answer 1

یکی از روش ها برای این کار استفاده از cookie و ذخیره سازی در database بصورت همزمان است:

1. پس از اینکه کاربر با موفقیت در سیستم login کرد و چک "من را به خاطر بسپار" را نیز زده بود، علاوه بر cookie که برای session management ذخیره می شود یک cookie نیز برای "من را به خاطر بسپار" ذخیره می شود.
2. cookie مخصوص "من را به خاطر بسپار" حاوی نام کاربری و یک کد تصادفی و بزرگ و غیر قابل پیش بینی است، که علاوه بر ذخیره بعنوان cookie در database نیز ذخیره می شود.
3. وقتی که یک کاربر login نکرده از سایت بازدید می کند و cookie مخصوص "من را به خاطر بسپار" را دارد، مقدار آن cookie از database بازیابی می شود.
4. اگر مقدار نام کاربری و کد تصادفی ذخیره شده در database با مقدار ذخیره شده در cookie یکسان بود کاربر login شده فرض می شود و مقدار cookie "من را به خاطر بسپار" از database حذف می شود و مجددا یک مقدار جدید (حاوی نام کاربری و یک کد تصادفی) در database و cookie ذخیره می شود. اگر مقدار نام کاربری در cookie با database یکسان بود ولی کد تصادفی ذخیره شده یکسان نبود احتمالا یک سرقت اتفاق افتاده و به کاربر پیغام امنیتی داده می شود و تمام cookie های ذخیره شده کاربر در database حذف می شود.
5. اگر کاربر cookie مخصوص "من را به خاطر بسپار" را نداشت صفحه login به کاربر نمایش داده می شود.

Comments

لطفا منظورتان را از این جمله بگویید:
"علاوه بر cookie که برای session management ذخیره می شود "
مگر برای cookie ، session ای هم ذخیره می شود؟

---

بله، وب سرور ها به ازای session کاربر برای آن کاربر یک Cookie ایجاد می کنند تا بتوانند رد کاربر را داشته باشند.

---

سشن ها هم در اصل از کوکی با طول عمر محدود استفاده می کنند