如何保证 Cookie 自动登录的安全性

哪个系统会去保存 Username 和 password hash 太扯淡了…
最简单的难道不是保存登陆之后的 session id 或者 token 吗

简单一点，放个随机数，后端记录随机数是谁不就得了。注意定时清理

用有时效的随机数

保存在 cookie 里等着被 CSRF ？

客户端放 sessionid 不就可以了吗
服务端维护一个 hash 表

槽点太多，不知道怎么说了，还是楼下来帮帮楼主吧

哪个网站放 password hash 的？我马上去拦截

remember me 不就是加大 cookie 的有效期吗？和普通的登陆有何区别？

remember me 实现 可以这样简单理解 ： 用户登陆后，服务端生成一个有时效性的 token,然后放回 cookie 中，下次登录直接验证 token,并生成一个新 token 覆盖。至于这个 token 是啥，简单的可以是个随机数，复杂点的会利用一个大的随机数以及加盐哈希共同验证，直接利用 Username 和 Password 做 hash 是很危险的，如果 lz 有使用这种方法，建议修改。

敢把 password hash 放客户端。。。。

一般存 token or session id，服务端检验

这和 cookie 有啥关系…………

一般登录信息是通过 session 存的。

一段时间之前流行 cookie based session，也就是将数据加密存在 cooke 中。

但是，没见过 session 里存密码或者密码 hash 的。

PHP password_hash() 放 cookie 路过，会被打死吗？

“看到很多简易的系统，直接保存了 Username 和 Password Hash，这样子设计在自动登录时可以直接传入数据库验证。但缺点是容易暴露系统的加密算法。”，你再搞个随机字段生成一个 uuid 不是从用户名来的不就得了吗？

将 cookie 对称加密，配合 secure-only，可以在客户端存任何信息

缺点是暴露系统的加密算法——就这一句话，你这帖子我没话说。

看来我们的项目也应该被打死....

我们的方法是 存 username + 时间戳 + hash( username + passowd hash + 时间戳 + 内部自定义 key )

另外 加密算法暴露了 没什么可怕的，除非你加密方法是 md5。

只要你的加密方法够高级，以现在的技术还远远无法破解就够了。

别人知道了你用的是 PBKDF2WithHmacSHA1 或者 bcrypt 又如何？ 既不知道 salt 又不知道迭代次数谁能破解。

@v1024 重放攻击

bcrypt 这种利用 hash 时间的将 password hash 放在 cookie 里的问题在哪里呢？如何解决呢？