我们有一个面向公众的网站,用户可以使用电子邮件地址登录。
用户登录后,我们使用唯一生成的cookies填充该域的session id,以及用户详细信息,如emailAddress,Name等,基于对服务器进行的其他调用,如getUserProfile等
但问题是,任何用户都可以对其主机文件进行更改,并编写一个简单的Servlet来创建我的域cookies,并可以相应地设置任意随机session id和cookies中的用户详细信息,然后可以自动登录。
在客户端方面,如何维护相应的session id是正确的。如果我在session id这样的缓存框架中维护后端的memcache,那么每个网页上的每个网页都会点击服务器,这不是我想要的。
解决此问题的方法是什么,并确保欺诈用户在其主机文件中进行更改后无法设置cookies。
答案 0 :(得分:1)
在客户端,我如何保持适当的会话ID是正确的。
你做不到。浏览器由用户控制。您控制服务器。您只能在服务器上执行身份验证。