我已经看到许多网站(和初学者教程！),只是在cookie中存储一些类似的validUser = 1.显然我可以欺骗,网站会认为我是一个有效的用户.

如果用户名存储在cookie中,我可以通过在我的请求中发送带有他/她的用户名的cookie来伪装成任何用户.

因此,如果您将用户名和密码存储在cookie中,那么我必须知道登录的用户名和密码.有效的用户是自动登录的 – 就像是通过浏览器保存密码.每次浏览器自动将凭据输入框中,而不必每次都会向页面发送请求.

但这还是个坏主意吗？存储纯文本密码不是一个很好的想法,但是这是在登录时在POST数据中发送的方式.此外,它可以存储散列.但我仍然不舒服.

也许Cookie不应该用于存储任何除会话ID之外的任何内容,用户数据也存储在服务器本身.这可能是一个更安全的位置,假定服务器不是共享的.

看一些开源软件,如论坛软件,他们使用一个更复杂的系统,但是我无法清楚它在做什么,从撇号.

什么是标准的“最佳实践”？