问题标签 [session-cookies]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
cookies - 我应该在每个网络响应中返回 cookie 吗?
当用户登录我的网站时,它会返回一个过期两个小时的 cookie。cookie 不会在后续调用中返回,因此即使用户仍在使用该网站,两小时后 cookie 也会过期,然后重定向到登录页面。
所以我想我知道解决方案,但是在每次调用中返回带有“过期”的 cookie 是否是一个好习惯?
干杯。
cookies - PayPal 结帐后处理
我有一个网络服务,用户可以在其中购买使用 PayPals Express 结帐流程即时生成的报告。我想确保无论用户如何返回网站(通过贝宝回调或他自己),他都可以下载他支付的报告。为此,我需要将他购买的报告 ID 保存在某个地方。在哪里以及如何最好地做到这一点?(Cookies?会话参数?)
我正在使用 ASP .Net C#。
谢谢,
韦斯
php - 使用更多 cookie 而不仅仅是会话哈希进行身份验证的原因是什么?
我通常在使用公告板软件的社区中闲逛。
我正在查看该软件在我的浏览器中保存为 cookie 的内容。
如您所见,它保存了 6 个 cookie。其中,我认为对身份验证很重要的是:
- ngisessionhash:当前会话的哈希
- ngipassword:密码的哈希(可能不是普通密码)
- ngiuserid:用户ID
这些当然是我的假设。我不确定是否出于同样的原因使用了ngilastactivity和ngilastvisit 。
我的问题是:为什么要使用所有这些 cookie 进行身份验证?我的猜测是,也许生成会话哈希会很容易,所以使用 hashedpassword 和 userid 会增加安全性,但是 cookie 欺骗呢?我基本上将所有基本信息都留在了客户端上。
你怎么看?
更新#1
这些 cookie 的内容就是我认为它们包含的内容。我不确定。当然,如果调用 cookie ngivbpassword 并包含哈希,我猜是 hashedpassword。可能它可能是密码+盐。
我主要担心的是这些解决方案在cookie 欺骗攻击下会提供大量信息。
更新#2 这个问题不想批评这些特定软件的工作方式,但是,通过这些答案,我只想了解更多关于在 Web 环境中保护软件的信息。
c# - 已识别登录 - 此号码的任何后端存储?
当您登录到 ASP.NET 应用程序时,您会收到一个登录 cookie(我认为它称为 ASPX_AUTH 或类似名称)。这个cookie的结构是什么?服务器实际上是否保持任何登录状态,或者它纯粹是 cookie 中的内容(在这种情况下,我可以通过更改 cookie 到期时间来强制一个很长的登录状态吗?)
德克萨斯州,AJ。
security - 使用 cookie/会话进行移动应用程序身份验证?
是否有任何理由不应该将 cookie/会话用于本机移动应用程序(通常由浏览器使用)来向我的服务器进行身份验证和后续 API 调用?
澄清:移动客户端上事实上的身份验证方法似乎是基于令牌的系统,如 OAuth/XAuth。为什么传统的浏览器方法不够用?
java - servlet 设置cookie 安全吗?
在 Cookie 方法中,有一个方法叫做“setSecure”,它是做什么用的?如果我 setSecure(true),我需要在客户端(javascript)端做些什么来读取 cookie 吗?set/没有 setSecure 有什么不同?
php - 取消设置 $_COOKIE 后 PHP setcookie() 不起作用
我刚刚为 Cookies 编写了非常简单的包装类,如下所示:
但是,最初设置 cookie 时出现问题,然后我想通过首先调用来更改值:
接着
第二个(设置)不设置cookie。
知道可能是什么原因造成的吗?
php - 史努比和饼干
我需要一个像 snoopy 这样的类来发布表单 var 并允许被调用的代码发布以编写 cookies snoopy 工作得很好,但我试图开始工作的代码有
并且cookie永远不会被写入登录代码手动工作正常但我需要一种通过代码登录的方法任何想法提前谢谢你
asp.net - 表单身份验证 Cookie 在服务器关闭/失败时不会过期
这是我使用 CustomMembershipProvider 登录的用例
- MembershipProvider 中的用户登录验证用户帐户
- Membership 的用户属性设置为来自数据库的用户详细信息
- 已创建身份验证票证
- 添加了表单身份验证 cookie。
- 用户已登录
这是我的问题的一个用例
- 停止 web 开发服务器
- 启动 web 开发服务器,用户仍然登录(由于 cookie?)
- 由于服务器重新启动/故障,用户属性 Membership 设置为 null
- 由于 null 用户值,应用程序引发异常
我能想到的唯一解决方案是清除 Application_Start() 上的所有 cookie,但我不知道这怎么可能,因为 Request 在应用程序启动期间脱离上下文。
您对如何解决此类问题有任何想法吗?
这是代码:
CustomMembershipProvider
这是Account Controller的登录方法
下面的建议是不可行的,因为每当我重新启动服务器时都是这种情况。
- Request.IsAuthenticated 在 Application_BeginRequest 上为 FALSE;
- Request.IsAuthenticated 在我的“视图”上为 TRUE
为什么会这样?
django - 在django中,request.session.set_expiry是如何使用idle后注销用户的?
我想在一段时间不活动后注销用户。这个问题(Logging users out of a Django site after N minutes of inactivity)有一个合理的答案。
但我想了解 request.session.set_expiry 与 SESSION_COOKIE_AGE 的区别。无论活动如何,前者似乎都会在固定时间后将用户注销。如果 SESSION_SAVE_EVERY_REQUEST 为 False,这不也是 SESSION_COOKIE_AGE 所做的吗?