如果我们可以对会话数据进行签名和加密,为什么人们建议对服务器端存储会话数据?
我的意思是,如果我们签名并加密它们几乎不可能出现任何安全问题(因此可以只将所有数据存储在会话cookie中)?我在这里错过任何安全问题吗?我还应该考虑什么?
简而言之,我在询问服务器端会话数据存储与加密会话cookie的优缺点。
答案 0 :(得分:0)
这有一个问题。会话数据有时很大,在某些情况下几百kb。如果必须与每个请求一起发送,则会占用大量带宽。
但是,如果会话数据很小并且有数百万用户,则可以通过删除用于处理会话数据的数据库来降低复杂性。
无论如何,我还没有看到一个网站这样做。
答案 1 :(得分:-1)
在客户端,您必须拥有密钥才能与服务器交互(例如,更新您的购物车),然后攻击者可以获取密钥,解密密钥,更改密钥并重新加密密钥用密钥,然后将其发送到服务器。那就是最终用户就是攻击者。
加密的目的是避免数据在传输过程中被拦截,如果最终用户正在攻击您的网站,则无法解决。