发表于: 2017-10-26 23:10:13
0 623
今天完成的事情:
1、验收程延师弟的任务5。
指出了 不能把用户id和password直接md5加密存到cookie。写工具类得到cookie。字段名起得有意义一点。
查了一下安全的cookie的做法:
1)token 是一些信息的组合,用户id+用户名+expires过期时间+ip地址+salt,
具体加密算法最好自己写,不能使是常见的加密函数(md5),
当然这 个加密函数必须可逆,这个token我们同时要保存在用户表数据库里面,
set cookie的时候记得http only;
2) 服务器端拿到cookie之后,进行逆解析,
这个时候我们要验证如下信息:cookie是否过期、ip地址是否发生变化、用户id和用户名是否存在;
用户 存在之后,我们再拿这个token跟第一步存在数据库中的token进行比较,
看是否相等,如果不等说明token已经过期,这样做可保证每次用户登录之 后token值都不一样,
之前用过的token都会失效;
2、看了一篇AOP如何实现对字段校验的文章,并实践了一下。
明日计划:
1、把逗你学的微信支付的过程和遇到的坑总结一下。
遇到的问题:
1、
收获:
1、
返回列表
评论