우리는 자동 로그인 기능을 사용하여 사용자가 직접 웹 응용 프로그램에 대한 링크를 사용하여 로그인 할 수 있습니다. 이것을 달성하는 가장 좋은 방법은 무엇입니까?웹 응용 프로그램 자동 로그인
우리는 다음과 같은 사항을 염두에 둡니다.
1) 사용자 자격 증명 (사용자 이름/암호)을 쿠키에 저장하십시오. 인증을 위해 쿠키를 보냅니다.
예컨대 http : //www.mysite.com/AutoLogin (여기서 사용자 이름/암호는 쿠키로 전달됩니다)
또는 링크 URL에 사용자 자격 증명을 전달하십시오.
HTTP : //www.mysite.com/AutoLogin?userid= <> & 암호 = <>
2) 서버 측 데이터베이스에 RANDON 토큰 및 저장 사용자 임의 토큰 및 사용자 IP를 생성합니다.
사용자가 링크를 사용하여 로그인 할 때 서버에서 토큰 및 사용자 IP의 유효성을 검사하십시오.
예컨대
HTTP : //www.mysite.com/AutoLogin?token= <>
다른 시스템에 대한 사용자의 컴퓨터에서 해커 복사 링크/쿠키가 자신이 로그인 할 경우 1 방식의 문제입니다.
두 번째 접근 방식의 문제점은 사용자 IP가 프록시 뒤에서 같은 조직의 모든 사용자에게 동일하다는 것입니다.
위에서 보안 측면에서 어느 것이 더 낫습니까? 위에 언급 된 것 이외의 더 나은 해결책이 있다면 저희에게 알려주십시오.