主题:和大家一起研究探讨一个问题!!
yaozheng
[专家分:28410] 发布于 2003-10-16 13:11:00
现在在很多论坛和网站登陆的时候都会有一个记住密码的功能,这个功能带来了很多方便,但也产生了很多麻烦。
这个功能应该是提供给那些在自己的电脑上使用的人,但也有一些粗心的人,可能在单位或者网吧用了这个记住密码的功能,然后没有退出登陆就走了,而如果被后面的使用者发现,完全可以用此人的登陆权限搞破坏什么的。
我就想能不能实现这样一个功能,如果我在某个地方在一个网站上用了记住密码的功能登陆,但走的时候没有退出,而过了一段时间后突然想起来,能否在其他的机器上采取某种措施避免被别人利用。我想如果发现的时候别人已经利用了那这已经没办法,那这种情况就另当别论。我想和大家探讨一下的就是在别人还没利用的时候,能否在另外一台机器上解除那台已记住密码的控制权限????
请感兴趣的朋友各抒己见!!谢谢大家!!
回复列表 (共23个回复)
21 楼
stone7725 [专家分:250] 发布于 2004-08-30 20:32:00
在登陆时产生一个随机数作标识,记录在Cookie与服务器中,访问时需读取该数据,与服务器中数据比较,相同才可继续.这样,只需在基他机器重新登录一下就可以了.
22 楼
both [专家分:60] 发布于 2004-10-13 11:51:00
我觉得还是有问题:
首先,权威人士A在网吧里的机器1上留下了COOIKES,并记住密码,数据库里值为“YSE”
然后,权威人士返回家里,想起了自己的失误,于是立即在机器2(自己的电脑)上登陆并更改数据库值为"NO"。根据一楼的方法,这时机器1的COOIKES因为数据库值为“NO”而失效。
可是这时候权威人士A想在家里自己的机器2上使用记住密码的功能,不会出现问题吗?
窃以为楼上的解决方法才是正道,数据库里放置的应该是个随机数(我一般都是用sessionID的值),这个值同时保存在COOIKES里。登陆时验证并改变这个值。
这样只要换了一台机器登陆,该值改变,别的机器里的COOIKES就失效了。
不过这样做也还是有问题,比如不能同时在公司和家里的2台电脑上记住密码,还是不方便。
23 楼
linfeng332 [专家分:10] 发布于 2004-11-06 08:40:00
哎
做有一个有提示是否保存密码的小框,
还有一个自动清除密码的不就可以了吗?
我来回复