如何安全地实现自动登录
我读过很多,很多,很多关于如何“你可能会存储密码错”的帖子。他们总是指在用户登录的服务器上存储密码。他们基本上会重新编码(确保使用双关语)无处不在的建议,例如确保对密码加盐等。但是,我从未见过有关在客户端上存储密码的最佳实践的文章,这样客户端不必登录每次他们要登录时手动进行;“记住我”功能。 从浏览器到诸如Dropbox之类的程序,许多软件都具有此功能。 我最近确实读过一篇老文章,内容涉及Dropbox如何在您的计算机上存储ID,您可以将其复制/粘贴到另一台计算机上,然后启动Dropbox并以从中获得ID的设备身份登录。没有登录,什么都没有,并且对Dropbox帐户具有完全访问权限。这似乎是一个非常愚蠢的设计,但是我想不出任何更好的方法来做到这一点。 我什至不知道如何避免以纯文本形式存储像cookie之类的东西。如果您对其进行加密,那么将密钥存储在何处? 我认为不引入安全漏洞的唯一方法是删除自动登录功能,并让用户每次想要使用服务时都输入密码,但这是在可用性方面的努力,并且用户不愿意这样做而被宠坏了。 关于安全地本地存储凭据以实现自动登录功能,我可以读到什么?如果原则对于整篇文章来说太简单了,那是什么?有问题的软件不应依赖于并非所有平台都具有的功能(例如某些Linux发行版具有的“钥匙串”)。