“在这台计算机上记住我” – 它应该如何工作？

我经常同时使用2台或3台机器，并且在所有机器上都有“记住我”的记号。 如果其中一个断开了其他人，这将是非常烦人的，所以我不会推荐它。

传统上，它会使用超时，cookie会在一段时间后（或用户注销时）过期。

这一切都取决于你的安全模式。 如果你正在编写一个内部公司的应用程序，你只希望一个用户在一台计算机上，那么你可能希望比gmail有更严格的限制。

另外，请记住拒绝服务的可能性 – 如果一台机器上的某个操作可能会迫使另一台机器无法使用，则可以用来防止合法用户在某些情况下回收控制权。

“ 持久login最佳实践”和“ 持久login最佳实践”文章是如何实现这种function的很好的参考。

另请参阅这些StackOverflow问题

• 什么是最好的方式来实现“记住我”的网站？
• 权威网站authentication指南

从另一台计算机login不应使与另一台计算机上的cookie关联的login无效。 但是，如果用户注销或“不是你？在这里login”，这应该清除用户正在工作的cookie。

顺便说一句，通过坚持使用https并使之不用于脚本，可以使窃取cookie变得困难。

通过将“; HttpOnly”添加到您的Cookie的输出这将使cookie不可用的JavaScript例如

HTTP/1.1 200 OK Cache-Control: private Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Vary: Accept-Encoding Server: Microsoft-IIS/7.0 Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly X-AspNet-Version: 2.0.50727 Set-Cookie: user=t=bfabf0b1c1133a822; path=/; HttpOnly X-Powered-By: ASP.NET Date: Tue, 26 Aug 2008 10:51:08 GMT Content-Length: 2838 

你可以阅读更多关于这个

• 为.Net
• Firefox支持
• 杰夫 – 艰难的Codings，让我们去购物

记住我的cookie也应该标识机器。 它应该与机器有关，因为有些地方你想要被记住，而另外一些地方你不知道（家庭vs工作）。

到期date通常设置为合理的时间（两周），或者在用户明确从机器注销后，

我会做的是将每个会话链接到一个IP地址。 如果会话令牌是从一个不同的IP发送的，则拒绝它。

访问令牌应该是IP特定的，这样它们不能轻易地跨机器传输。

它们也应该以允许用户查看哪些机器上有活动令牌的方式来实现。

一旦在另一台计算机上创build了一个新的令牌，就select这种方式来终止一个令牌 – select让他们的用户不能在多台计算机上访问他们的服务 – 或者如果他们这么做 – 他们的使用certificate他们再次login。

您使用的策略确实取决于您所持有的数据和用户的需求。