Patrząc na pliki cookie Gmaila łatwo jest zobaczyć, co jest przechowywane w pliku cookie „zapamiętaj mnie”. Nazwa użytkownika / jednorazowy token dostępu. Może to być realizowane inaczej w przypadku, gdy nazwa użytkownika jest tajna. Ale cokolwiek ... sprawa nie jest bardzo bezpieczna: kradniesz plik cookie i jesteś gotowy do pracy.

Moje pytanie jest po stronie funkcjonalnej: kiedy wycierasz ich żetony dostępu? Jeśli użytkownik się zalogujebez kliknięcie „zapamiętaj mnie” na innej maszynie, jeśli to unieważni ich tokeny dostępuwszystkie maszyny? Pytam o to, w jaki sposób jest to tradycyjnie wdrażane, a także w jaki sposób należy je wdrożyć.