4
我期待有一個更持久的登錄用戶體驗,所以我想保存用戶的id與cookies.signed[:id] = user.id而不是session[:id] = user.id。安全差異存儲在cookie.signed與會話的價值
是否有任何安全隱患與我應該知道這種變化(不同的加密等)?
A
回答
0
那麼,這裏是一個例子。讓我們通過非常糟糕的情景。有人將您的應用程序祕密簽名爲Cookie。所以,這些不好的人將能夠在cookie中存儲他們想要的數據。如果您將通過Cookie在ID中標識用戶,他們將能夠以系統中的任何用戶身份登錄。怎麼樣?那麼,大多數應用程序使用從0開始的整數作爲ids,對吧?例如,使用id爲1的管理員用戶很容易找到。如果您按會話標識用戶,該怎麼辦?會話(就像cookies)通常會過期。甚至更多 - 猜測管理員或其他人的會話標識會很煩人(如果這些用戶沒有會話,甚至不可能)。如果有人偷走了您的應用程序的祕密,並且您僅在Cookie中存儲了會話ID,我並不是說您的安全性很高。但將用戶ID存儲在會話中絕對更好,而不是將其存儲在cookie中。
相關問題
- 1. 會話存儲安全
- 2. 會話價值將存儲在PHP中
- 3. 安全存儲 - 臨時會話
- 4. HTML5會話存儲是否安全?
- 5. 如何安全地存儲會話ID
- 6. 在會話中存儲值是否安全?
- 7. PHP會話安全性:將會話存儲在數據庫中與更改會話保存路徑?
- 8. 與Redis存儲會話安全性如何?
- 9. 在線安全和存儲貨幣價值的數據庫
- 10. 價值將不會存儲
- 11. 在iPad/iPhone上的用戶會話期間安全地存儲安全密鑰?
- 12. 在PHP會話中存儲POST數據時的安全隱患
- 13. 在zope中安全地存儲沒有會話的變量
- 14. 存在速度/安全性差異在臨時表中存儲臨時數據?
- 15. 會話安全
- 16. Rails:在「會話」中存儲數據是否安全?
- 17. 在數據庫或會話中存儲安全性查找?
- 18. 在會話['user']中存儲用戶名是否安全? C#asp.net
- 19. 在會話中存儲OTP是否安全?
- 20. 在鋰會話中存儲密碼安全嗎?
- 21. 在會話變量中存儲密碼安全嗎?
- 22. symfony2會話存儲與postgresql
- 23. PHP會話不存儲值
- 24. 在會話安全中存儲登錄名和密碼哈希值?
- 25. 將隨機值作爲會話「密鑰」存儲在表中是否安全?
- 26. 讀取存儲在會話中的值
- 27. 會話中存儲的數據安全性如何
- 28. 實現安全客戶端會話存儲(網站)的模式
- 29. 將用戶對象存儲到會話中的安全性
- 30. MYSQL價值差異優化