我读过SO（如一些文章和问题在这里 ）是说，你不应该在Cookie中保存用户的密码。 如果密码咸鱼和散列，这是为什么不安全？

特别是，为什么它比使用会话的安全性较低，替代通常建议？ 如果用户想要保持登录状态那么可以肯定这个新的Cookie（与会话ID /散）是完全一样的一个用户的密码安全吗？ 如果cookie是在某种方式“偷”的攻击者可以登录为以同样的方式给用户。

编辑 ：这个问题的主要症结是关于用户的部分保持登录状态，通过IE“记得我吗？” 复选框。 在这种情况下，一定有过只有一个会话？

会议通常键入到IP地址在一定程度上有所防止会话被盗。

除此之外，会话ID不包含任何个人信息; 您的密码，甚至咸鱼和散列一样。 密码，盐腌和散列，因为它们可以是可重复使用; 会话ID的不能。 一旦会议结束，它已经结束了，你需要一个新的会话ID，以便能够再次冒充用户。

通过将哈希密码+盐在cookie中，您可以：

• 打开无限暴力破解矢量
• 允许cookie被复制和被人用（它总是让机会;而会话这样做了一段时间）。
• 使其难以改变散列方案，如果它变得相关

此外，你通常需要存储其他东西，来识别用户（如他们的用户ID，所以你可以看看他们的密码，与之相匹配的）。 这可能会导致其他问题模糊不清。

所以，你最好只是用会话ID的方法去。

在其他方面的区别，如果会话存储，你拥有这一个会议。 如果PWD取，你从现在起拥有该用户的每个会话。

如何让别人处理，想想所有这些问题的吗？ 也就是说，使用OpenID的是，Windows Live ID，Facebook连接等。