1
tabris17 2016-11-01 17:49:25 +08:00 1
交给浏览器就好
|
2
withinthefog 2016-11-01 17:55:34 +08:00
选中记住密码的 checkbox 后, 这次登陆生成一个带过期时间的 cookie 活着 token 返回给客户端, 下次用户打开浏览器时判断 cookie 或 token 的有效期, 没过期的就直接认为用户已登录
|
3
firhome OP @withinthefog 不会被伪造么?
|
4
ETiV 2016-11-01 18:27:42 +08:00 via iPhone 1
网页上都是“保持登录”,哪有记住密码的
|
5
btjoker 2016-11-01 18:27:54 +08:00
朋友,你需要读读 HTTP cookies 详解
|
6
misaka19000 2016-11-01 18:31:51 +08:00 via Android
这种功能不要去做,意义不大且很不安全
|
7
xiongbiao 2016-11-01 18:35:56 +08:00
同二楼, 不记住密码的话发个不带过期时间的 cookie 就行了 退出浏览器就被干掉
|
8
misaka19000 2016-11-01 18:39:14 +08:00 via Android
@withinthefog 题主要的不是自动登录,是自动记住密码
|
9
yhxx 2016-11-01 18:41:36 +08:00
有记住密码吗?
一般都是保持登录状态吧 |
10
cheetah 2016-11-01 18:48:04 +08:00
记住我,忘记密码
|
11
liuzhen 2016-11-01 18:58:39 +08:00
网页保存登录后的 token 到 cookie 就好
|
13
liuzhen 2016-11-01 19:02:44 +08:00
这种功能我一般把账号存进 cookie
下次进页面从 cookie 读账号填充账号文本框 密码框由浏览器记忆填充 |
14
SpicyCat 2016-11-01 22:01:56 +08:00
自动填充用户名还行,自动填充密码完全没必要。做个保持登陆状态一段时间即可。
|
15
msg7086 2016-11-02 06:49:18 +08:00
最好别做记住密码,会被人打死的。保持登录就行了。
|
16
withinthefog 2016-11-02 14:01:35 +08:00
@firhome 伪造可以通过 https, token 签名等方式规避, 但是要 100%安全是不可能的, 可以去看下 json web token
千万不要去做什么帮用户记住密码然后填充, 这个让用户自己用浏览器活着第三方工具(1password 等)实现 |
17
annielong 2016-11-02 14:26:24 +08:00
最好不要做,现在浏览器都带记住密码功能,这个安全的锅还是甩给用户好了
|