你可能不想存儲密碼。
你需要的是存儲一些「用戶已經被認證」的標誌。
畢竟,你應該瞭解「摘要訪問認證」。存儲散列數據總是加上。
這個答案太短了,主要是因爲這裏有太多的可能性 - 以及太多的開放性問題。
處理返回用戶:
您可以管理(服務器端)會話數據庫。在cookie中只存儲會話ID。當用戶認證自己時,你的服務器端數據庫存儲他的狀態:「登錄」。當他註銷時,您將更改數據庫狀態:「註銷」。
處理返回用戶與「存儲密碼」沒有任何關係。例如,您可以通過外部授權服務來驗證用戶身份,例如open-id,twitter,facebook等,您只能通過某個會話ID或類似名稱來存儲他的狀態。
瀏覽器通常可以存儲用戶名/密碼,但是這一切時間應該是的用戶責任。當用戶只想記住他的密碼時,不應該以任何方式保存。
爲什麼要將您的應用程序和安全機制複雜化並將加密密碼存儲在cookie中 - 從任何角度來看哪些不是正確的解決方案?
簡單的流程:
- 當新用戶來到你的網站 - 你他指派一個新的會話ID和SID存儲到一個cookie
- ,當他登錄(通過HTTPS) - 你存儲在你的DB =「sessionID」 - >「登錄」
- 當他一週後返回時,你可以(服務器端)從cookie中接受他的會話ID - 「已登錄」狀態,或者,您可以再次強制登錄他(例如因過期)
- 以上所有都沒有任何風險存儲密碼
人們總是可以使用Firebug/Chrome Dev查看cookies。 Tools /'document.cookie'和** no ** cookies沒有加密,所以請使用類似SID的東西。 HTTPS實現SSL(/ TLS?),因此利用RSA加密 – 2012-07-22 14:06:31
當**你想,以確保客戶的安全,你不需要總是隻加密密碼,** – 2012-07-22 14:10:16