쿠키 만 사용하는 사용자 인증

Question

내 웹 사이트의 개인 섹션에서 사용자를 인증하기 위해 쿠키 만 사용하려고합니다. 사용자가 로그 아웃하지 않는 한 무한정 로그인 상태를 유지하기를 원합니다. 다음과 같이 작동합니다 :

1. 성공적으로 로그인하면 나는 임의의 해시를 생성하고 SSL 쿠키를 사용하여 사용자에게 HTTP 쿠키로 저장합니다. 또한 사용자 ID와 사용자의 장치와 함께 데이터베이스에 해시를 저장합니다.

2. 새 페이지가 요청 될 때마다 사용자에게 쿠키가 있는지 확인합니다. 그는 해시를 얻었고 데이터베이스에서 검색했습니다. 일치하는 항목을 발견하고 장치가 동일하면 사용자라고 가정하고 페이지를 제공합니다. 해시 또는 장치가 변경된 것을 찾지 못하면 사용자가 아닌 것으로 간주하고 다시 로그인을 요청합니다.

내 질문 :이 방법이 보안 상 허용됩니까? 나는 결국이 두 가지 경우에 로그인 한 채로 사용자를 유지하는 것보다 보안이 덜한 이유를 알 수 없습니다. 결국 위험은 같고 공격자가 해시를 발견하여 사용자를 가장하게됩니다. 이를 방지하기 위해 사용자 장치를 추적하므로 공격자는 해시를 발견하고 동일한 장치를 사용해야합니다.

의견에 감사드립니다.

Answer 1

기본적으로 대부분의 언어/프레임 워크에서 제공하는 세션 기능입니다.

해시 값이 사용자가 엔트로피 소스로 로그인 한 시간을 사용하지 않도록하십시오. 즉, 침입자가 대략적인 로그인 시간을 알고 있다면 이것은 쉽게 무차별 적으로 강제 될 수 있기 때문에 h (username + login_time)를 사용하지 마십시오.

실제로 사용하는 언어/프레임 워크는 무엇입니까? 대부분의 경우 세션 "기능"을 세션 (세션이 아닌)과 함께 사용하여 옵션을 처음부터 구현하지 않고 추가 보안 문제를 만들지 않도록 할 수 있습니다.