将用户的用户ID存储在cookie中是否安全?为什么?
答案 0 :(得分:2)
完全取决于id的用途。
如果是用于身份验证,那么这是一个坏主意。我可以把它换成任何东西。
你最好存储一个经常更新的随机数(如果它不会破坏你的服务器,那么每一页都是如此)。然后在数据库中将其与经过身份验证的用户匹配。
答案 1 :(得分:1)
没关系,只要确保你在那个cookie上进行验证。
答案 2 :(得分:1)
如果是用于任何类型的会话管理,或者用作访问敏感信息(密码,财务,医疗等)的密钥,那么您不希望将其存储在cookie中 - 当然不是无论如何都要清楚。
良好的做法是使用加密的会话cookie,使其难以猜测,根据内部服务器引用进行验证,经常更新(安全状态的任何更改 - 例如从http到https页面)并在离开时撤销或者注销以防止重复使用。
答案 3 :(得分:-1)
这样做是可以的。但在提交任何重要内容之前,请询问该用户的密码以进行验证。