问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

如果用Cookie实现单点登录的话,安全方面需要注意什么?

头像
朝野布告
    9721724

    公司的一项目,多个站点应用都是用子域名的,如果用cookie实现相同顶级域单点登录的话,即:
    站点1:a.sflove.com
    站点2:b.sflove.com
    两个站点都将使用域为.sflove.com的cookie来共享登录情况
    这样的话安全方面需要注意什么呢?需不需要使用https?

    cookie单点登录sso
    阅读 9.4k
    4 个回答
    得票最新
    头像
    朝野布告
      9721724
      ✓ 已被采纳

      总结下:
      1、像楼上说的设置为http-only
      2、涉及登录凭证(如票据或者用户名)应该加密
      2、cookie不能存放隐私数据,像用户名可以,密码不可以(即使加密也不应该考虑)!

      头像
      土豆丫VIP
        491165054

        把cookie加密吧~~之前的一个项目就是这样做的~

        头像
        白一梓
          3.2k137089

          防止cookie被伪造 防止cookie被窃取 我说的这两方面是跟用不用https无关

          头像
          AlphaTr
            391

            建议使用 http-only 的 cookie, 防止本地 JS 读取到用户权限相关的 Cookie 吧

            撰写回答
            你尚未登录,登录后可以
            • 和开发者交流问题的细节
            • 关注并接收问题和回答的更新提醒
            • 参与内容的编辑和改进,让解决方法与时俱进
            推荐问题