我想知道是否存在安全问题ID我在cookie中设置用户的_id以识别用户,或者最好设置cookie用户名和其他编码pwd
感谢
答案 0 :(得分:2)
是的,这绝对是一种安全风险 - 这意味着,如果用户可以发现另一个用户的_id(例如,如果您不小心将其显示在某处),他们就可以以该用户身份登录。更糟糕的是,_id在事后无法更改,因此无法强制另一个会话远程注销,或从被盗的cookie中恢复。
使用会话登录,而非用户特定数据。
答案 1 :(得分:0)
有点评论,有点回答。
所呈现的选择都很糟糕;也称为Morton's fork。
将用户ID放入cookie中:不好,因为正如duskwuff所说,cookie可能被盗并且id被传回。无法阻止它。
在cookie中输入用户名和加密密码:由于完全相同的原因而不好。
第三种选择是优选的:发送回具有有限生命期的加密会话ID。一旦服务器确定会话超时,就不要再使用它了。