在游戏框架网站上,他们说:
会话是键/值的哈希值,已签名但未加密。这意味着只要您的秘密是安全的,第三方就无法伪造会话。
真的很安全吗?
是否可以在mysql或postgresql等数据库中存储会话? 用另一个词我需要这样做吗?
如果是,是否有可以从中获得帮助的最佳实践指南?
答案 0 :(得分:2)
在游戏中,session是客户端的cookie。值未加密,这意味着使用像firebug这样的工具,您可以在客户端看到会话的内容。所以你不能像未加密的密码那样输入你的会话敏感数据。
会话已签署。这意味着无法在客户端修改cookie并将其发送到服务器,因为播放会检查内容是否与签名同步。
由于会话是客户端对象,我不明白为什么要将它们存储在数据库中。通常的用例是将用户的标识符放在会话中,并使用此标识符从数据库中检索所有其他所需的数据