登录时记住用户名密码的实现方式

登录的时候记住用户名密码，目前大多数浏览器本身已经支持这种功能，如果不用浏览器本身的功能，自己来实现呢。

 一部分人在前端直接用cookie来保存用户名和密码。这样是不安全的，我们在cookie中可以看到用户名，密码的明文。有些人采用base64对密码进行一下编码，要知道base64是可以解码的。综上直接在前端cookie来存储是不安全的。

 

 

 下面我聊一下我的一个思路，当用户登录的时候，在服务器端对用户名和密码 进行一次（AES）加密，写入Cookie设置HttpOnly为true.

cookie  key:r7NyJSR92M5je    value:r7NyJSR92M5jed62qKMesg%3D%3D

value是用户名和密码 用分隔符分开 然后进行AES加密后的值。httponly=true,表示客户端无法对cookie进行修改。

下次进入登录界面之前，解析出cookie中的用户名，以及密码的长度，注意是密码的长度。写一个方法生成相同长度的一个密码字符串（不是真实的密码，仅仅长度相同，例如：****），

 

        private string NewPwd(int length)
        {
            StringBuilder builder = new StringBuilder();
            for (int i = 0; i < length; i++)
            {
                builder.Append("*");
            }
            return builder.ToString();
        }

 

 

把这个字符串赋值给password控件。

用户名直接明文赋值给username控件即可。这样前端是不会看到密码明文的，因为我们用长度相同的***代替了。

 

用户登录的时候，判断cookie是否存在，存在取出cookie中的加密用户名密码，进行解密得到用户名密码。比对用户名以及根据密码长度生成的密码串，匹配的话，把前端传来的密码串替换为真实的密码。不匹配就用前端传来的用户名和密码，这样服务端就可以真实登录了。

 

            if (HttpContext.Request.Cookies.TryGetValue(PlatformConstants.RememberPasswordCookieName, out string value))
            {
                string[] up = value.AesDecrypt().Split(PlatformConstants.SplitSeparator);
                if (up[0] == username && userpwd == NewPwd(up[1].Length))
                {
                    //密码赋值为真实解密后的密码
                    userpwd = up[1];
                }
            }

 

 

注意事项：当用户修改密码或取消记住密码的时候 要设置cookie的失效。