如何安全实现网页登录的“记住我”功能？

网页登录之“记住我”

在登录模块中实现“记住我”功能时，我们面临一个问题：如何在不暴露敏感信息的情况下持久化记住标记。

解决方案：避免存储密码

密码是高度敏感的，绝对不能存储在客户端。反编译 Identity 框架时，你会发现它也不存储密码。原因如下：

替代方案：生成令牌

与其存储密码，不如在登录时生成一个唯一的令牌。这个令牌可以作为“记住我”标识，如下所示：

安全考虑

这种方法比存储密码更安全，但仍需考虑以下安全因素：