4
我期待有一个更持久的登录用户体验,所以我想保存用户的id与cookies.signed[:id] = user.id而不是session[:id] = user.id。安全差异存储在cookie.signed与会话的价值
是否有任何安全隐患与我应该知道这种变化(不同的加密等)?
A
回答
0
那么,这里是一个例子。让我们通过非常糟糕的情景。有人将您的应用程序秘密签名为Cookie。所以,这些不好的人将能够在cookie中存储他们想要的数据。如果您将通过Cookie在ID中标识用户,他们将能够以系统中的任何用户身份登录。怎么样?那么,大多数应用程序使用从0开始的整数作为ids,对吧?例如,使用id为1的管理员用户很容易找到。如果您按会话标识用户,该怎么办?会话(就像cookies)通常会过期。甚至更多 - 猜测管理员或其他人的会话标识会很烦人(如果这些用户没有会话,甚至不可能)。如果有人偷走了您的应用程序的秘密,并且您仅在Cookie中存储了会话ID,我并不是说您的安全性很高。但将用户ID存储在会话中绝对更好,而不是将其存储在cookie中。
相关问题
- 1. 会话存储安全
- 2. 会话价值将存储在PHP中
- 3. 安全存储 - 临时会话
- 4. HTML5会话存储是否安全?
- 5. 如何安全地存储会话ID
- 6. 在会话中存储值是否安全?
- 7. PHP会话安全性:将会话存储在数据库中与更改会话保存路径?
- 8. 与Redis存储会话安全性如何?
- 9. 在线安全和存储货币价值的数据库
- 10. 价值将不会存储
- 11. 在iPad/iPhone上的用户会话期间安全地存储安全密钥?
- 12. 在PHP会话中存储POST数据时的安全隐患
- 13. 在zope中安全地存储没有会话的变量
- 14. 存在速度/安全性差异在临时表中存储临时数据?
- 15. 会话安全
- 16. Rails:在“会话”中存储数据是否安全?
- 17. 在数据库或会话中存储安全性查找?
- 18. 在会话['user']中存储用户名是否安全? C#asp.net
- 19. 在会话中存储OTP是否安全?
- 20. 在锂会话中存储密码安全吗?
- 21. 在会话变量中存储密码安全吗?
- 22. symfony2会话存储与postgresql
- 23. PHP会话不存储值
- 24. 在会话安全中存储登录名和密码哈希值?
- 25. 将随机值作为会话“密钥”存储在表中是否安全?
- 26. 读取存储在会话中的值
- 27. 会话中存储的数据安全性如何
- 28. 实现安全客户端会话存储(网站)的模式
- 29. 将用户对象存储到会话中的安全性
- 30. MYSQL价值差异优化