cookie保存用户状态后如何加密cookie保证信息不被窃取?
如题,当用到保存用户登录状态的时候 往往会选择利用cookie保存用户的登录信息 但是一旦别人获取到了你的cookie信息后 就可能利用cookie登录账号,这个应该如何处理?求解!!! cookie 加密 --------------------编程问答-------------------- 保存cookie的时候加密 也就是cookie保存的是一段密文 别然看到也看不出来啥 --------------------编程问答--------------------
如果他直接获取了我的cookie的话 他应该不需要知道cookie的内容 他只要在他的浏览器上打开我的网站 然后将他获得的cookie导入进去 也就相当于自动登录到网站了。。。 他获取到cookie后不一定非要知道内容是什么。。。 --------------------编程问答-------------------- #region 加密&解密
/// <summary>
/// DES对称加密方法
/// </summary>
/// <param name="InitData">原始待加密数据</param>
/// <param name="SecretKey">加密密钥</param>
public static string EncryptData(object InitData, string SecretKey)
{
try
{
string newSecretKey = Utils.MD5(SecretKey + MySecretKey).Substring(16, 8);
DESCryptoServiceProvider des = new DESCryptoServiceProvider();
//把字符串放到byte数组中
Byte[] inputByteArray = Encoding.Default.GetBytes(InitData.ToString());
//建立加密对象的密钥和偏移量
des.Key = ASCIIEncoding.ASCII.GetBytes(newSecretKey);
//原文使用ASCIIEncoding.ASCII方法的GetBytes方法
des.IV = ASCIIEncoding.ASCII.GetBytes(newSecretKey);
//使得输入密码必须输入英文文本
MemoryStream ms = new MemoryStream();
CryptoStream cs = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write);
cs.Write(inputByteArray, 0, inputByteArray.Length);
cs.FlushFinalBlock();
StringBuilder ret = new StringBuilder();
foreach (Byte b in ms.ToArray())
{
ret.AppendFormat("{0:X2}", b);
}
ret.ToString();
return ret.ToString();
}
catch
{
return "";
}
}
/// <summary>
/// DES对称解密方法
/// </summary>
/// <param name="EncryptedData">待解密数据</param>
/// <param name="SecretKey">解密密钥</param>
public static string DecryptData(object EncryptedData, string SecretKey)
{
try
{
string newSecretKey = Utils.MD5(SecretKey + MySecretKey).Substring(16, 8);
string pToDecrypt = EncryptedData.ToString();
DESCryptoServiceProvider des = new DESCryptoServiceProvider();
Byte[] inputByteArray = new byte[pToDecrypt.Length / 2];
for (int x = 0; x < pToDecrypt.Length / 2; x++)
{
int i = (Convert.ToInt32(pToDecrypt.Substring(x * 2, 2), 16));
inputByteArray[x] = (byte)i;
}
//建立加密对象的密钥和偏移量,此值重要,不能修改
des.Key = ASCIIEncoding.ASCII.GetBytes(newSecretKey);
des.IV = ASCIIEncoding.ASCII.GetBytes(newSecretKey);
MemoryStream ms = new MemoryStream();
CryptoStream cs = new CryptoStream(ms, des.CreateDecryptor(), CryptoStreamMode.Write);
cs.Write(inputByteArray, 0, inputByteArray.Length);
cs.FlushFinalBlock();
return System.Text.Encoding.Default.GetString(ms.ToArray());
}
catch
{
return "";
}
}
#endregion
Utils.MD5(SecretKey + MySecretKey).Substring(16, 8);
这里的MD5自己写一个,然后随意截取其中8位,MySecretKey=内部密钥 --------------------编程问答-------------------- 写到缓存里面?这样他也就获取不到了 --------------------编程问答-------------------- 放在客户端的东西 不安全 吧用户登陆信息写在全局缓存里面,通过用户名+密码 生成的key保证唯一 --------------------编程问答-------------------- cookie加密。
如果对方能够搞到你本机的cookie,那你根本没什么秘密可言。 --------------------编程问答--------------------
同意 请问有什么办法吗?尽量避免的 因为要做记住密码和下次自动登录这样的功能 必须要用到cookie来保存用户状态! --------------------编程问答-------------------- 同意! --------------------编程问答--------------------
如果是共用的机器,只能做好用户权限控制,不要用administrator权限,限制每个用户只能访问各自的文件目录,这样就能隔离cookie了。 --------------------编程问答-------------------- 你可以 研究 一下 csdn 的自动 登陆
补充:.NET技术 , ASP.NET
