Web认证方法探视(4)之remember me

最新推荐文章于 2023-05-28 13:48:22 发布
最新推荐文章于 2023-05-28 13:48:22 发布 · 217 阅读 · 0
文章标签:

#Web #Gmail

本文探讨了网站如何实现记住登录状态功能,以豆瓣为例,详细分析了标准form-based认证方式及remember me功能的具体实现方法,并讨论了由此带来的安全问题及其解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在很多网站都有记住登录状态 的功能。比如gmail,豆瓣等。

 

现在让我们通过豆瓣来看看如何实现remember me

 

下图为豆瓣的登录页面

 

豆瓣登录页面

 

1. 不选择“记住我”

 

   我们可以得到login页面的response header里的Set-cookie值为。

 

ue="xxxxx@gmail.com"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT
dbcl2="1123439:yhsdfd1yvQ"; path=/; domain=.douban.com

 

   其中的ue是用户名,dbcl2为类似于sessionId的用户identification。

 

   可以看出,这是标准的form-based认证方式。

 

2. 选择“记住我”

 

    得到的response为:

 

 

ue="xxxxxx@gmail.com"; domain=.douban.com; expires=Thu, 01-Jan-2012 00:00:00 GMT
dbcl2="1123439:vY9ssdff0"; path=/; domain=.douban.com; expires=Wed, 25 Mar 2009 07:29:59 GMT

 

    跟前者的唯一区别是在dbcl2后加了一个过期期限值,刚好是一个月。

 

    我们已经可以看出,其实本质上,就是在服务器端记住session,并且在客户端记住cookie一个月。在一个月内,都使用相同的cookie去访问服务端。

 

    验证一下,重新访问,果然使用的是同一个cbdl2值。

 

问题

 

显而易见,这里最大的问题在于安全问题。

 

假如cookie被盗,则黑客可以使用这个dbcl2值登录。

 

那怎么解决呢?很多站点会对用此种方式登录的用户行为进行限制,他们只能执行一般如查看信息等操作,而不能执行如修改密码等安全级别较高的操作。如果用户要修改密码,将被要求重新登录。

 

当然,现在很多站点在修改密码时都需要输入旧密码,相当于做了一层类似的保护。

 

andyhu1007
关注
一次用爬虫扒取豆瓣电影条目信息的尝试
WickedDogg的博客
05-10 2343
最近做个电影的东西,突发奇想把豆瓣的电影条目扒下来一点,看了下,现在大概有140个左右的条目,这些条目分得比较细,连某个人的电影都分了出来,所以重复的也比较多,当然这些我都还没细弄,只是大致扒了一点,而且因为扒得太快,导致暂时被封ip了。昨天尝试了很久,本来不登录也能正常扒取电影信息,但是现在不行了,必须要登录。豆瓣的反扒机制做得很简陋,以至于我成功时候以为就没有反扒机制。刚开始是直接通过链接来扒取
spring-security(二十三)Remember-Me认证
高枫的博客
03-09 692
前言: Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数...
WebrememberMe 功能(shiro的实现)
Ydoing的专栏
10-10 546
记住我(RememberMe)的功能 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: - 1、首先在登录页面选中RememberMe 然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie 写到客户端并保存下来; - 2、关闭浏览器再重新打开;会发...
srpingsecurity remember me 简单认证token怎么实现的
jiangguochen2的博客
05-28 201
在上述配置中,我们使用了TokenBasedRememberMeServices作为RememberMeServices的实现类,并指定了一个唯一且保密的密钥(“uniqueAndSecretKey”)来生成和验证令牌。此外,我们使用了InMemoryTokenRepositoryImpl作为PersistentTokenRepository的实现类,这意味着令牌将存储在内存中。在Spring Security中,“Remember Me”(记住我)功能可以使用户在关闭浏览器后仍然保持登录状态。
Python爬虫学习5:使用cookie访问网页(以豆瓣为例)
zhuzuwei的博客
07-01 1万+
1. 先在浏览器上登录豆瓣,登录成功后打开开发者工具,可以查看到Cookie.        第一次登录后,短时间内再次打开此页面时,会发现系统已经保存了cookie, 不用再重新登录。时间长了cookie会失效,需重新登录.2.  实现代码import requests headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.3; WOW64) ...
记住我remember-me功能的几种实现方式
热门推荐
fangchao2061的专栏
04-18 1万+
本文讨论几种记住我功能的实现方式。
Web认证方法探视(1) 转载
u012684933的专栏
01-14 515
转载地址:http://andyhu1007.iteye.com/blog/337127 什么是Web认证    简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法       1. Http Basic Authentication (
Web认证方法探视(2)
05-24
NULL 博文链接:https://andyhu1007.iteye.com/blog/337281
深入Web认证方法探视与rolebase工具解析
### Web认证方法探视 #### 认证基础知识 Web认证方法主要有以下几种类型: 1. 基于知识(What you know)的认证: - 用户名/密码:最常见的认证形式,用户需输入正确的用户名和密码组合。 - 访问码:一次性或...
医院安防应用系统远程探视方案
07-25
远程探视在众多大医院中有着迫切的需求,这种需求来自两方面:一是有些病人患有传染性很强的疾病;二是重症患者容易受到感染,所以都不能与外界接触。而这类特殊的患者最需要得到安慰和陪同,其家人、亲戚、朋友等也...
中子全息照相术——探视物质的新方法
02-25
使中子的行为如同经典粒子一样,并能直线地通过波带板以形成阴影照片的条件是容易达到的。从热反应堆或充分慢化的加速器源出来的中子,其平均速度约为2200米/秒,因此它的德布罗意波长约为0.2毫微米。...
5G+VR远程医疗探视解决方案.pdf
12-29
4. 线下探视问题:医护工作本身就繁重,医护人员额外提供线下探视服务,大大提升医护人员的工作量。医院人流量大,家属多次来往医院增加传染风险,医院院感防控压力大。线下探视过程复杂,疫情常态化背景下,医院对...
java使用dbcp2连接mysql
707wk的专栏
01-08 4952
需要下载 commons-dbcp2-2.1.1.jar 和 commons-pool2-2.4.2.jar ,我放在tomcat的lib文件夹里。 DBCPcnn静态类 package www.wamgk.com; import java.io.IOException ; import java.io.InputStream ; import java.sql.Connection ; i
新闻推荐系统源码-基于springboot的新闻推荐系统设计与实现-新闻推荐网站代码-新闻推荐项目代码
08-12
新闻推荐-新闻推荐系统-新闻推荐系统源码-新闻推荐系统代码-springboot新闻推荐系统源码-基于springboot的新闻推荐系统设计与实现-新闻推荐管理系统-新闻推荐项目代码-新闻推荐网站代码
No.31 MATLABSimulink仿真:新能源并网逆变器及其功能,包括SVPWM矢量调制、PI电流环控制、dq控制与有功无功及直流母线电压控制
08-12
内容概要:本文介绍了如何利用MATLAB/Simulink进行新能源并网逆变器的仿真,重点解析了SVPWM矢量调制、坐标变换、PI电流环、dq控制、有功无功控制及直流母线电压控制等关键功能。文中首先概述了新能源并网逆变器的重要性和MATLAB/Simulink的作用,接着详细描述了模型构建方法,最后深入探讨了各个关键功能的具体实现和技术细节。通过这些技术的应用,能够有效提高逆变器的性能和电能质量。 适合人群:从事电力电子、新能源发电及控制系统设计的研究人员和工程师。 使用场景及目标:适用于需要理解和掌握新能源并网逆变器工作原理及其实现方法的专业人士,旨在帮助他们更好地设计和优化逆变器系统,提升系统的稳定性和效率。 其他说明:文章不仅提供了理论解释,还结合实际案例进行了详细的功能解析,有助于读者全面理解并应用于实际项目中。
基于JAVA的学生课外活动管理系统的设计与实现
最新发布
08-12
基于JAVA的学生课外活动管理系统的设计与实现的论文
Kubernetes持久化存储PVC和PV使用教程.doc
08-12
Kubernetes持久化存储PVC和PV使用教程.doc
教师工作量管理-教师工作量管理系统源码-基于Web的教师工作量管理系统设计与实现-教师工作量管理网站代码
08-12
教师工作量管理-教师工作量管理系统-教师工作量管理系统源码-教师工作量管理系统代码-springboot教师工作量管理系统源码-基于springboot的教师工作量管理系统设计与实现-项目代码
IB Specification Vol 2-Release-2.0-Final-2025-07-31 - 2
08-12
内容概要:本文档为《400_IB Specification Vol 2-Release-2.0-Final-2025-07-31.pdf》,主要描述了InfiniBand架构2.0版本的物理层规范。文档详细规定了链路初始化、配置与训练流程,包括但不限于传输序列(TS1、TS2、TS3)、链路去偏斜、波特率、前向纠错(FEC)支持、链路速度协商及扩展速度选项等。此外,还介绍了链路状态机的不同状态(如禁用、轮询、配置等),以及各状态下应遵循的规则和命令。针对不同数据速率(从SDR到XDR)的链路格式化规则也有详细说明,确保数据包格式和控制符号在多条物理通道上的一致性和正确性。文档还涵盖了链路性能监控和错误检测机制。 适用人群:适用于从事网络硬件设计、开发及维护的技术人员,尤其是那些需要深入了解InfiniBand物理层细节的专业人士。 使用场景及目标:① 设计和实现支持多种数据速率和编码方式的InfiniBand设备;② 开发链路初始化和训练算法,确保链路两端设备能够正确配置并优化通信质量;③ 实现链路性能监控和错误检测,提高系统的可靠性和稳定性。 其他说明:本文档属于InfiniBand贸易协会所有,为专有信息,仅供内部参考和技术交流使用。文档内容详尽,对于理解和实施InfiniBand接口具有重要指导意义。读者应结合相关背景资料进行学习,以确保正确理解和应用规范中的各项技术要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值