cookies登入原理

登入的話，保存使用者名稱和密碼到cookies，怎麼保存比較好?沒session直接透過cookies，將cookies的帳戶資訊進行登錄，產生新的session

回覆內容：

登入的話，保存使用者名稱和密碼到cookies，怎麼保存比較好?沒session直接透過cookies，將cookies的帳戶資訊進行登錄，產生新的session

為了安全考慮cookies裡面最好不要儲存密碼，給個想法：當使用者第一次登入時候，驗證使用者名稱密碼成功後，產生一個授權令牌token，然後把這個token保存在cookies裡，下次就讀取token進行驗證。

不如試試jsonwebtoken，同樣保存到cookie裡

感覺可以保存成用戶名|IP,這種方式，然後自動登陸時先取出第一個值比對用戶名，再比對IP，同樣的IP就自動登陸，不一樣就不自動

cookie的資訊是會保存在客戶端的（例如瀏覽器），而session資訊是保存在伺服器上的，只是sessionid保存在cookie裡，透過cookie把sessionid傳遞給伺服器。 Cookie一般只保存使用者名稱等不敏感的資訊

• cookie裡面是不應該存敏感資訊的

• 要用cookie登入可以試試在cookie存放用戶id 令牌時間 md5(用戶id+令牌時間+自訂key)

• 客戶端以上述資訊對cookie進行身分和有效期限驗證，並產生session

• 這就是傳說中的自動登入原理..