记住密码功能如何实现？

交给浏览器就好

选中记住密码的 checkbox 后, 这次登陆生成一个带过期时间的 cookie 活着 token 返回给客户端, 下次用户打开浏览器时判断 cookie 或 token 的有效期, 没过期的就直接认为用户已登录

@withinthefog 不会被伪造么？

网页上都是“保持登录”，哪有记住密码的

朋友，你需要读读 HTTP cookies 详解

这种功能不要去做，意义不大且很不安全

同二楼, 不记住密码的话发个不带过期时间的 cookie 就行了 退出浏览器就被干掉

@withinthefog 题主要的不是自动登录，是自动记住密码

有记住密码吗？
一般都是保持登录状态吧

记住我，忘记密码

网页保存登录后的 token 到 cookie 就好

@liuzhen 我理错题意~

这种功能我一般把账号存进 cookie

下次进页面从 cookie 读账号填充账号文本框

密码框由浏览器记忆填充

自动填充用户名还行，自动填充密码完全没必要。做个保持登陆状态一段时间即可。

最好别做记住密码，会被人打死的。保持登录就行了。

@firhome 伪造可以通过 https, token 签名等方式规避, 但是要 100%安全是不可能的, 可以去看下 json web token

千万不要去做什么帮用户记住密码然后填充, 这个让用户自己用浏览器活着第三方工具(1password 等)实现

最好不要做，现在浏览器都带记住密码功能，这个安全的锅还是甩给用户好了