登錄cookie加密
⑴ asp.net cookie用戶名和密碼 加密 解密
using System;
using System.Collections.Generic;
using System.Text;
using System.Security.Cryptography;
using System.IO;
namespace clsModel
{
class clsModel
{
public static string UserMd5(string str)
{
string cl = str;
string pwd = "";
MD5 md5 = MD5.Create();//實例化一個md5對像
// 加密後是一個位元組類型的數組,這里要注意編碼UTF8/Unicode等的選擇
byte[] s = md5.ComputeHash(Encoding.UTF8.GetBytes(cl));
// 通過使用循環,將位元組類型的數組轉換為字元串,此字元串是常規字元格式化所得
for (int i = 0; i < s.Length; i++)
{
// 將得到的字元串使用十六進制類型格式。格式後的字元是小寫的字母,如果使用大寫(X)則格式後的字元是大寫字元
pwd = pwd + s[i].ToString("x").PadLeft(2, '0');
}
return pwd;
}
private static byte[] IV = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
public static String Encrypt(String Key, String str)
{
byte[] bKey = Encoding.UTF8.GetBytes(Key.Substring(0, 8));
byte[] bIV = IV;
byte[] bStr = Encoding.UTF8.GetBytes(str);
try
{
DESCryptoServiceProvider desc = new DESCryptoServiceProvider();
MemoryStream mStream = new MemoryStream();
CryptoStream cStream = new CryptoStream(mStream, desc.CreateEncryptor(bKey, bIV), CryptoStreamMode.Write);
cStream.Write(bStr, 0, bStr.Length);
cStream.FlushFinalBlock();
return Convert.ToBase64String(mStream.ToArray());
}
catch
{
return string.Empty;
}
}
public static String Decrypt(String Key, String DecryptStr)
{
try
{
byte[] bKey = Encoding.UTF8.GetBytes(Key.Substring(0, 8));
byte[] bIV = IV;
byte[] bStr = Convert.FromBase64String(DecryptStr);
DESCryptoServiceProvider desc = new DESCryptoServiceProvider();
MemoryStream mStream = new MemoryStream();
CryptoStream cStream = new CryptoStream(mStream, desc.CreateDecryptor(bKey, bIV), CryptoStreamMode.Write);
cStream.Write(bStr, 0, bStr.Length);
cStream.FlushFinalBlock();
return Encoding.UTF8.GetString(mStream.ToArray());
}
catch
{
return string.Empty;
}
}
}
}
完整的加密解密類...直接引用就可以,方法中的參數Key為密碼,可以自己指定...
Encrypt加密的方法
Decrypt解密的方法
⑵ php程序做登錄使用cookie登錄後的問題,求大師圍觀!
我的建議是cookie和session都用,如果cookies裡面是無關緊要的東西,完全可以不用加密。
實在需要加密話,我推薦一個加密cookie演算法給你uc_client.具體怎麼樣?你懂啦
再就是好好區分session和cookies.
session至少有三種保持方式,一種是默認的存在伺服器TMP目錄裡面。
一種是通過session_set_save_handler將session存到資料庫中。
最後還可以跟memcache關聯。
當然暫時不理解這些的時候,建議不要太考慮網站性能問題。先讓程序跑起來。
⑶ 登錄不用session 用 cookie
如果你想做簡單一點。那就用session。一行代碼就可以保存管理員的登陸狀態,在session有效的時間內。再次訪問頁面不需要重新登陸。
但是,這個有一個弊端。就是現在的web編程思想:輕伺服器端,重客戶端。也就是盡量減輕伺服器端的壓力(少在伺服器端存儲數據,等等)。應該盡可能的將一些可以放在客戶端的數據,放在客戶端。而且,有一些很注重性能的架構師,以asp.net為例。他會直接禁用掉所有session(因為他們理解session如果用作保存數據,cookie可以替代,如果用作傳遞數據,隱藏域可以替代,所以session完全沒有必要),如果你遇到這樣的架構師,那麼session肯定是行不通的。只能用cookie。
如果你要用cookie去實現。就需要做兩件事
對cookie進行加密
將cookie存儲在本地,並且不隨著瀏覽器的關閉而刪除
具體操作代碼(我給出了asp.net的實現代碼。)
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket( 2, "username", DateTime.Now, DateTime.Now.AddDays(30d), false, string.Empty);string str = FormsAuthentication.Encrypt(ticket);HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, str);Response.Cookies.Add(cookie);
⑷ 如何提高cookie的安全性
一、對保存到cookie裡面的敏感信息必須加密
二、設置HttpOnly為true
該屬性值的作用就是防止Cookie值被頁面腳本讀取。
三、設置Secure為true
給Cookie設置該屬性時,只有在https協議下訪問的時候,瀏覽器才會發送該Cookie。
四、給Cookie設置有效期
如果不設置有效期,萬一用戶獲取到用戶的Cookie後,就可以一直使用用戶身份登錄。
⑸ 如何設置cookie
Cookies是一種能夠讓網站伺服器把少量數據儲存到客戶端的硬碟或內存,或是從客戶端的硬碟讀取數據的一種技術。Cookies是當你瀏覽某網站時,由Web伺服器置於你硬碟上的一個非常小的文本文件,它可以記錄你的用戶ID、密碼、瀏覽過的網頁、停留的時間等信息。當你再次來到該網站時,網站通過讀取Cookies,得知你的相關信息,就可以做出相應的動作,如在頁面顯示歡迎你的標語,或者讓你不用輸入ID、密碼就直接登錄等等。
從本質上講,它可以看作是你的身份證。但Cookies不能作為代碼執行,也不會傳送病毒,且為你所專有,並只能由提供它的伺服器來讀取。保存的信息片斷以「名/值」對(name-value
pairs)的形式儲存,一個「名/值」對僅僅是一條命名的數據。一個網站只能取得它放在你的電腦中的信息,它無法從其它的Cookies文件中取得信息,也無法得到你的電腦上的其它任何東西。
Cookies中的內容大多數經過了加密處理,因此一般用戶看來只是一些毫無意義的字母數字組合,只有伺服器的CGI處理程序才知道它們真正的含義。
由於Cookies是我們瀏覽的網站傳輸到用戶計算機硬碟中的文本文件或內存中的數據,因此它在硬碟中存放的位置與使用的操作系統和瀏覽器密切相關。在Windows
9X系統計算機中,Cookies文件的存放位置為C:WindowsCookies,在Windows
NT/2000/XP的計算機中,Cookies文件的存放位置為Cocuments
and
Settings用戶名Cookies。
硬碟中的Cookies文件可以被Web瀏覽器讀取,它的命令格式為:用戶名@網站地址[數字].txt。如筆者計算機中的一個Cookies文件名為:ch@163[1].txt。要注意的是:硬碟中的Cookies屬於文本文件,不是程序。
Cookies的設置
你可以在IE的「工具/Internet選項」的「常規」選項卡中,選擇「設置/查看文件」,查看所有保存到你電腦里的Cookies。這些文件通常是以user@domain格式命名的,user是你的本地用戶名,domain是所訪問的網站的域名。如果你使用NetsCape瀏覽器,則存放在「CROGRAMFILESNETS-
CAPEUSERS」裡面,與IE不同的是,NETSCAPE是使用一個Cookie文件記錄所有網站的Cookies。
我們可對Cookie進行適當設置:打開「工具/Internet選項」中的「隱私」選項卡(注意該設置只在IE6.0中存在,其他版本IE可以單擊「工具/Internet選項」「安全」標簽中的「自定義級別」按鈕,進行簡單調整),調整Cookie的安全級別。通常情況,可以調整到「中高」或者「高」的位置。多數的論壇站點需要使用Cookie信息,如果你從來不去這些地方,可以將安全級調到「阻止所有Cookies」;如果只是為了禁止個別網站的Cookie,可以單擊「編輯」按鈕,將要屏蔽的網站添加到列表中。在「高級」按鈕選項中,你可以對第一方Cookie和第三方的Cookie進行設置,第一方Cookie是你正在瀏覽的網站的Cookie,第三方Cookie是非正在瀏覽的網站發給你的Cookie,通常要對第三方Cookie選擇「拒絕」。你如果需要保存Cookie,可以使用IE的「導入導出」功能,打開「文件/導入導出」,按提示操作即可。
Cookies的寫入與讀取
Cookies集合是附屬於Response對象及Request對象的數據集合,使用時需要在前面加上Response或Request。
用於給客戶機發送Cookies的語法通常為:
當給不存在的Cookies集合設置時,就會在客戶機創建,如果該Cookies己存在,則會被代替。由於Cookies是作為HTTP傳輸的頭信息的一部分發給客戶機的,所以向客戶機發送Cookies的代碼一般放在發送給瀏覽器的HTML文件的標記之前。
如果用戶要讀取Cookies,則必須使用Request對象的Cookies集合,其使用方法是:
需要注意的是,只有在伺服器未被下載任何數據給瀏覽器前,瀏覽器才能與Server進行Cookies集合的數據交換,一旦瀏覽器開始接收Server所下載的數據,Cookies的數據交換則停止,為了避免錯誤,要在程序和前面加上response.Buffer=True。
Cookies的應用
幾乎所有的網站設計者在進行網站設計時都使用了Cookie,因為他們都想給瀏覽網站的用戶提供一個更友好的、人文化的瀏覽環境,同時也能更加准確地收集訪問者的信息。
網站瀏覽人數管理
由於代理伺服器、緩存等的使用,唯一能幫助網站精確統計來訪人數的方法就是為每個訪問者建立一個唯一的ID。使用Cookie,網站可以完成以下工作:測定多少人訪問過;測定訪問者中有多少是新用戶(即第一次來訪),多少是老用戶;測定一個用戶多久訪問一次網站。
通常情況下,網站設計者是藉助後台資料庫來實現以上目的的。當用戶第一次訪問該網站時,網站在資料庫中建立一個新的ID,並把ID通過Cookie傳送給用戶。用戶再次來訪時,網站把該用戶ID對應的計數器加1,得到用戶的來訪次數或判斷用戶是新用戶還是老用戶。
按照用戶的喜好定製網頁外觀
有的網站設計者,為用戶提供了改變網頁內容、布局和顏色的權力,允許用戶輸入自己的信息,然後通過這些信息對網站的一些參數進行修改,以定製網頁的外觀。
在電子商務站點中實現諸如「購物籃」等功能
可以使用Cookie記錄用戶的ID,這樣當你往「購物籃」中放了新東西時,網站就能記錄下來,並在網站的資料庫里對應著你的ID記錄當你「買單」時,網站通過ID檢索資料庫中你的所有選擇就能知道你的「購物籃」里有些什麼。
在一般的事例中,網站的資料庫能夠保存的有你所選擇的內容、你瀏覽過的網頁、你在表單里填寫的信息等;而包含有你的唯一ID的Cookie則保存在你的電腦里。
Cookies的缺陷
Cookie雖然被廣泛的應用,並能做到一些使用其它技術不可能實現的功能。但也存在一些不夠完美的方面,給應用帶來不便。
多人共用一台電腦的問題
任何公共場合的電腦或者許多在辦公室或家裡使用的電腦,都會同時被兩個以上的人使用。這樣,當你用它在網上超市購物時,網上超市或網站會在這台機器上留下一個Cookie,將來也許就會有某個人試圖使用你的賬戶購物,帶來了不安全的可能。當然,在一些使用多用戶操作系統如Windows
NT或UNIX的電腦上,這並不會成為一個問題。因為在多用戶操作系統下不同的賬戶的Cookie分別放在不同的地方。
Cookies被刪除時
假如你的瀏覽器不能正常工作,你可能會刪除電腦上所有的臨時Internet文件。然而,一旦這樣操作以後,你就會丟掉所有的Cookies文件。當你再次訪問一個網站時,網站會認為你是一位新用戶並分配給你一個新的用戶ID以及一個新的Cookie。結果將會造成網站統計的新老用戶比發生偏差,而你也難以恢復過去保存的參數選擇。
一人使用多台電腦時
有的人一天之中經常使用一台以上的電腦。例如在辦公室里有一台電腦、家裡有一台、還有移動辦公用的筆記本電腦。除非網站使用了特別的技術來解決這一問題,否則,你將會有三個不同的Cookies文件在這三台機器上,而在三台機器上訪問過的任何網站都將會把你看成三個不同的用戶。
防範Cookies泄密
想知道你訪問的網站是否在你的硬碟或內存中寫入了Cookies信息嗎?只需執行下面的操作步驟,就可以了解和控制你正在訪問的網站的Cookies信息。
步驟一
點擊IE窗口中的「工具」「In-ernet選項」,打開「Internet選項」設置窗口;
步驟二
點擊「Internet選項」設置窗口中的「安全」標簽,然後再點擊「自定義級別」按鈕,進入「安全設置」窗口;
步驟三
找到「安全設置」窗口中的「Cookies」設置項。「Cookies」設置項下有兩個分選項,其中「允許使用存儲在您計算機上的Cookies」是針對存儲在用戶計算機硬碟中的Cookies文件;「允許使用每個對話Cookies(未存儲)」是針對存儲在用戶計算機內存中的Cookies信息。存儲在硬碟中的Cookies文件是永久存在的,而存儲在內存中的Cookies信息是臨時的。要想IE在即將接收來自Web站點的所有Cookies時進行提示,可分別選擇上面兩個分選項中的「提示」項。當然,你也可以選擇「啟用」,允許IE接受所有的Cookies信息(這也是IE的默認選項);選擇「禁止」,則是不允許Web站點將Cookies存儲到您的計算機上,而且Web站點也不能讀取你計算機中已有的Cookies。
IE6.0提供了更為可靠的個人隱私及安全保護措施,可以讓用戶來控制瀏覽器向外發送信息的多少。在「Internet
選項」窗口中新增了「隱私」選項卡(圖1),用戶可以在其中直接設置瀏覽時的隱私級別,按需要控制其他站點對自己電腦所使用的Cookies。如果我們正在瀏覽的站點使用了Cookie,那麼在瀏覽器狀態欄中會有一個黃色驚嘆號的標記,雙擊後可打開「隱私報告」對話框,用戶可以在其中查看具體的隱私策略,還可直接點擊「設置」按鈕後在上述「隱私」選項卡中調節安全隱私級別。
在「常規」選項卡中還增加了「刪除Cookies」按鈕(圖2),方便用戶直接清除本機上的Cookies。另外,在「工具」「選項」「高級」選項卡中也增加了一些進一步提高安全性的選項(如關閉瀏覽器時清空Internet臨時文件)。其實,如何更好地保護個人隱私和安全是微軟下一代「.NET」戰略軟體中的關鍵技術,現在IE6.0已經嘗試著邁出了第一步。
另外,由於Cookies的信息並不都是以文件形式存放在計算機里,還有部分信息保存在內存里。比如你在瀏覽網站的時候,Web伺服器會自動在內存中生成Cookie,當你關閉IE瀏覽器的時候又自動把Cookie刪除,那樣上面介紹的兩種方法就起不了作用,我們需要藉助注冊表編輯器來修改系統設置。要注意的是,修改注冊表前請作備份,以便出現問題後能順利恢復。
運行Regedit,找到如下鍵值:HKEY_LOCAL_
SettingsCacheSpecial
PathsCookies,這是Cookies在內存中的鍵值,把這個鍵值刪除。至此Cookies無論以什麼形式存在,我們都不用再害怕了。
最後有必要說明的一點是:杜絕Cookies雖然可以增強你電腦的信息安全程度,但這樣做同樣會有一些弊端。比如在一些需要Cookies支持的網頁上,會發生一些莫名其妙的錯誤,典型的例子就是你以後不能使用某些網站的免費信箱了。
Cookies欺騙
通過分析Cookie的格式,我們知道,最後兩項中分別是它的URL路徑和域名,伺服器對Cookie的識別靠的就是這兩個參數。正常情況下,我們要瀏覽一個網站時輸入的URL便是它的域名,需要經過域名管理系統DNS將其轉化為IP地址後進行連接。若能在DNS上進行一些設置,把目標域名的IP地址對應到其它站點上,我們便可以非法訪問目標站點的Cookie了。
要進行Cookies欺騙,其實很簡單。比如在Win9X下的安裝目錄下,有一名為hosts.sam的文件,以文本方式打開後會看到這樣的格式:
127.0.0.1
localhost
經過設置,便可以實現域名解析的本地化,只需將IP和域名依上面的格式添加到文件中並另存為hosts即可。hosts文件實際上可以看成一個本機的DNS系統,它可以負責把域名解釋成IP地址,它的優先權比DNS伺服器要高,它的具體實現是TCP/IP協議中的一部分。
比如我們要讀取的目標站點
www.abc.com
所生成的Cookies信息,可以藉助www.def.com(自己的站點)。在www.def.com
存放用來進行欺騙所需的文件,通過它讀取和修改對方的Cookie。
步驟一
ping出www.def.com
的IP地址:
ping
www.def.com
Reply
from
192.168.0.1:
bytes=32
time=20ms
TTL=244
然後修改hosts.sam文件如下:
192.168.0.1
www.abc.com
並保存為hosts文件。
步驟二
讀取Cookies信息:
將用來讀取Cookie的頁面傳至www.def.com
,此時連上www.abc.com,由於我們進行本機DNS域名解析的修改,這時網路連接的並不是www.abc.com,而是www.def.com
。
這樣www.abc.com設在本地的Cookie便可被讀出。
步驟三
同樣道理,你可對讀出的數據進行修改,並可將修改後的信息寫入Cookie中。修改完畢後,刪掉hosts文件,再重新進入www.abc.com,此時所使用的Cookies數據就是你制定的數據。
總之,在某種程度上雖然可以實現Cookies的欺騙,給網路應用帶來不安全的因素,但Cookies文件本身並不會造成用戶隱私的泄露,也不會給黑客提供木馬程序的載體,只要合理使用,它們會給網站管理員進行網站的維護和管理以及廣大用戶的使用都帶來便利。
Cookies集合具有以下幾種屬性
1.Expires屬性:此屬性用來給Cookies設置一個期限,在期限內只要打開網頁就可以調用被保存的Cookies,如果過了此期限Cookies就自動被刪除。如:
設定Cookies的有效期到2004年4月1日,到時將自動刪除。如果一個Cookies沒有設定有效期,則其生命周期從打開瀏覽器開始,到關閉瀏覽器結束,每次運行後生命周期將結束,下次運行將重新開始。
2.Domain屬性:這個屬性定義了Cookies傳送數據的唯一性。若只將某Cookies傳送給搜狐主頁時,則可使用如下代碼:
3.Path屬性:定義了Cookies只發給指定的路徑請求,如果Path屬性沒有被設置,則使用應用軟體的預設路徑。
4.Srcure屬性:指定Cookies能否被用戶讀取。
5.Haskeys屬性:如果所請求的Cookies是一個具有多個鍵值的Cookies字典,則返回True,它是一個只讀屬性。
⑹ asp.net(c#) 中如何對cookie進行加密
Secure 獲取或設置一個值,該值指示是否使用安全套接字層 (SSL)(即僅通過 HTTPS)傳輸 Cookie。
加密的話可以使用MD5之類的加密演算法
⑺ 提示開啟Cookie之後才能登錄怎麼解決
操作方法
01
我這個朋友出現問題時,用的是QQ瀏覽器,後來用IE試著登錄,也登錄不了,那就先查查QQ瀏覽器吧。
在瀏覽器的右上角,在一個「三」的主菜單圖標,點擊一下。
02
打開後,從菜單中找到並選擇「QQ瀏覽器設置」這一項,打開它。
03
進入設置界面後,選擇「高級」這一項,找一找是否有無痕瀏覽之類的設置,或者是接受Cookie一類的設置,結果,找了個遍,也沒發現這類設置。
04
後一想了想,其實QQ瀏覽器與IE瀏覽器,同是IE內核,所以,它們用的是一樣的Internet設置,於是打開IE瀏覽器,選擇「查看」下的「網頁隱私策略」這一項。
05
進入隱私報告窗口,在「顯示」後面的值是「所有網站」,打開下拉框,選擇「受限網站」看一看,如果有,就取消,但也沒有發現受限的網站,只能再點擊「設置」按鈕。
06
進入Internet 選項的「隱私」選項卡,在網站級別上設置為「中」,然後點擊「高級」按鈕。
07
在高級隱私策略設置窗口,先勾選「替代自動Cookie處理」這一項,然後在下面勾選「總是允許會話Cookie」,再按確定。
按說到此,問題就應該解決了,可以重啟瀏覽器,再登錄試試。
08
但我那位朋友重啟瀏覽器後,卻還是登錄不上,看來還是有問題,再清理一下網頁緩存試試,因為很多時候,問題就出在網頁緩存上。
在Internet選項的「常規」選項卡中,點擊「刪除」按鈕。
09
在刪除瀏覽的歷史記錄窗口,勾選所有的選項,然後按「刪除」按鈕,再重啟瀏覽器試試,結果,這一回登錄上了。
End
特別提示
象這樣的問題,大多是緩存或設置有問題,先清理緩存,再設置,如果還不行,可以重置Internet選項的默認設置。
因為QQ瀏覽器與IE同核,所以可以用此方法,如果是其它瀏覽器,就不行,如火狐等。
⑻ session cookie 怎麼實現加密
cookie 可以加密,但加密後的數據不能被 js 使用
如果提供 js 版的解密函數,那麼加密就沒有任何意義了
session 無需加密,因為他保存於伺服器端。
如果連你自己的伺服器的安全你都不能保證,乾脆就不要做web開發了
⑼ 登陸網站cookie,該加密什麼數據,怎麼加密才更安全
給網站伺服器安裝ssl證書,可實現網站身份驗證和數據加密傳輸雙重功能。
⑽ 登陸網站保存 cookie,該加密什麼數據、怎麼加密才更安全
密碼不保存到cookie當中,無論是明文還是md5或可逆加密。
cookie只用來保存登錄狀態。