[會(huì)話] COOKIE用戶驗(yàn)證的構(gòu)思可行性,請教

hitty

最近做一 用戶管理系統(tǒng)(通行證系統(tǒng))

系統(tǒng)涉及大流量在線訪問、跨域(服)，以及安全方面的問題

目前按這樣的思路進(jìn)行站點(diǎn) 通行證 的設(shè)計(jì)：

管理系統(tǒng) 要有一個(gè)密鑰（或者一組密鑰）
如:
$key=md5('8234jfds');

登錄成功后部分只要設(shè)置這樣：

1. 
   
2. $pass_id=md5($pass.$key);//加密密碼
   
3. $chk_id=md5($uname.$pass_id.$key);//加密驗(yàn)證串
   
4. 
   
5. setcookie('name',$uname);//用戶名
   
6. setcookie('pass',$pass_id);
   
7. setcookie('chk_id',$chk_id);
   

復(fù)制代碼

驗(yàn)證的時(shí)候如下對比，即可認(rèn)為是否合法登錄：

1. 
   
2. if(md5($_COOKIE['name'].$_COOKIE['pass'].$key)===$_COOKIE['chk_id'])
   
3. {
   
4. return true;
   
5. }
   
6. else
   
7. {
   
8. return false;
   
9. }
   

復(fù)制代碼

想完全代替SESSION不知可行否，是否存在漏洞?

[ 本帖最后由 hitty 于 2005-12-28 10:45 編輯 ]

wobushiwo

cookie一般不能跨域名

而cookie這種不保存明文的做法是基本的，以前是從這種方式轉(zhuǎn)到使用session的

漏洞談不上，安全性差點(diǎn)

hitty

原帖由 wobushiwo 于 2005-12-28 10:24 發(fā)表
cookie一般不能跨域名

而cookie這種不保存明文的做法是基本的，以前是從這種方式轉(zhuǎn)到使用session的

漏洞談不上，安全性差點(diǎn)

安全性方面是否指的是 $key 容易被破解?

是否可以采用不同的一組$key來增加安全性
$key[1]，$key[2]，$key[3]...

還有一個(gè)郁悶的地方就是 COOKIE
被盜時(shí)可能會(huì)導(dǎo)致 用戶身份被冒用

wobushiwo

不是指破解，是拿到那串MD5后，以后我直接使用那一串驗(yàn)證了，不用知道你原來是什么啊

hightman

強(qiáng)烈建議在計(jì)算摘要或加密原始字符串中加入IP地址信息, 可以是字符型也可以用整型(ip2long)來表示.

cookie 總是有可能泄漏或被攔截盜取. 它根本不必解密(這里的md5沒什么用), 而是把原始的字符串作為自己的 cookie value 發(fā)送即可.  (特別是你的網(wǎng)頁有可能被加載js代碼的, 這個(gè)東西防不勝防... :p)

簡單舉個(gè)例子, [IMG] 標(biāo)簽大家很熟, 但過濾不仔細(xì)的話會(huì)被利用把cookie發(fā)送出去 (<JS>:document.cookie)

驗(yàn)證信息的時(shí)候加上IP驗(yàn)證, 這樣被攻擊的可能性減到最小.

hitty

加個(gè)時(shí)間限制

1. 
   
2. if(($_COOKIE['c_time']-time())>=(60*30))
   
3. {
   
4. .......//超時(shí)處理
   
5. }
   
6. else
   
7. {
   
8. #每訪問一次更新一次時(shí)效
   
9. $c_time=time();
   
10. setcookie('c_time',$c_time);
    
11. $chk_id=md5($uname.$pass_id.$c_time.$key);//此時(shí)驗(yàn)證串將發(fā)生未知性改變
    
12. .......
    
13. 
    
14. }
    

復(fù)制代碼

[ 本帖最后由 hitty 于 2005-12-28 13:40 編輯 ]

HonestQiao

如果是你自己應(yīng)用，你可以自己添加一個(gè)加密解密的的對對函數(shù)啊。


最簡單的判別例如加入時(shí)間的校驗(yàn)。

gydoesit

原帖由 hightman 于 2005-12-28 13:31 發(fā)表
強(qiáng)烈建議在計(jì)算摘要或加密原始字符串中加入IP地址信息, 可以是字符型也可以用整型(ip2long)來表示.

cookie 總是有可能泄漏或被攔截盜取. 它根本不必解密(這里的md5沒什么用), 而是把原始的字符串作為自己的 co ...

我對你說的用img標(biāo)簽?zāi)馨l(fā)送cookie很感興趣,請給一個(gè)完整例子.

另外,樓主的cookie加不加時(shí)間問題不大,
你直接加入這兩個(gè)參數(shù)就行了.
ip,port


但是樓主,這都不是關(guān)鍵,關(guān)鍵在于,cookie不能跨域,你的心血似乎已經(jīng)白費(fèi).
另外,在服務(wù)器端你還要請求驗(yàn)證服務(wù)器吧,把你的請求驗(yàn)證服務(wù)器的代碼發(fā)來看看

gydoesit

原帖由 litie123 于 2005-12-28 14:34 發(fā)表
如果你想跨域?qū)崿F(xiàn)用戶驗(yàn)證，建議你在生成一個(gè)session_id以后在每一個(gè)超鏈接后面加上參數(shù)：
如  abc.com/aontent.php?action=view&article_id=1234&sid=jfidoa7u83952kjlafhkjdlsa
取得sid值以后從數(shù)據(jù) ...

那就是不用cookie,而是有g(shù)et傳遞,這樣訪問的每個(gè)頁面都有一長串參數(shù).yahoo就是這么作的.不知其他大站是不是也這樣.