Web认证方法探视(4)之remember me

现在很多网站都有记住登录状态 的功能。比如gmail，豆瓣等。

 

现在让我们通过豆瓣来看看如何实现remember me 。

 

下图为豆瓣的登录页面 ：

 

 

1. 不选择“记住我”

 

   我们可以得到login页面的response header里的Set-cookie值为。

 

ue="[email protected]"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT
dbcl2="1123439:yhsdfd1yvQ"; path=/; domain=.douban.com

 

   其中的ue是用户名，dbcl2为类似于sessionId的用户identification。

 

   可以看出，这是标准的form-based认证方式。

 

2. 选择“记住我”

 

    得到的response为：

 

 

ue="[email protected]"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT
dbcl2="1123439:vY9ssdff0"; path=/; domain=.douban.com; expires=Wed, 25 Mar 2009 07:29:59 GMT

 

    跟前者的唯一区别是在dbcl2后加了一个过期期限值，刚好是一个月。

 

    我们已经可以看出，其实本质上，就是在服务器端记住session，并且在客户端记住cookie一个月。在一个月内，都使用相同的cookie去访问服务端。

 

    验证一下，重新访问，果然使用的是同一个cbdl2值。

 

问题

 

显而易见，这里最大的问题在于安全问题。

 

假如cookie被盗，则黑客可以使用这个dbcl2值登录。

 

那怎么解决呢？很多站点会对用此种方式登录的用户行为进行限制，他们只能执行一般如查看信息等操作，而不能执行如修改密码等安全级别较高的操作。如果用户要修改密码，将被要求重新登录。

 

当然，现在很多站点在修改密码时都需要输入旧密码，相当于做了一层类似的保护。