cookies登录原理

登录的话，保存用户名和密码到cookies，怎么保存比较好?没session直接通过cookies，将cookies的账户信息进行登录，生成新的session

回复内容：

登录的话，保存用户名和密码到cookies，怎么保存比较好?没session直接通过cookies，将cookies的账户信息进行登录，生成新的session

为了安全考虑cookies里面最好不要保存密码，给个思路：当用户第一次登录时候，验证用户名密码成功后，生成一个授权令牌token，然后把这个token保存在cookies里，下次就读取token进行验证。

不如试试jsonwebtoken，同样保存到cookie里

感觉可以保存成用户名|IP,这种方式，然后自动登陆时先取出第一个值比对用户名，再比对IP，同样的IP就自动登陆，不一样就不自动

cookie的信息是会保存在客户端的（比如浏览器），而session信息是保存在服务器上的，只是sessionid保存在cookie里，通过cookie把sessionid传递给服务器。cookie一般只保存用户名等不敏感的信息

• cookie里面是不应该存敏感信息的

• 要用cookie登录可以试试在cookie存放用户id 令牌时间 md5(用户id+令牌时间+自定义key)

• 客户端以上述信息对cookie进行身份和有效期验证，并生成session

• 这就是传说中的自动登录原理..