我正在使用ExtJs(MVC)构建Web应用程序。
我最担心的是如何识别登录系统的用户?
我可以通过多种方式实现这一目标,但安全性呢?
该信息可以存储在
中
- Cookie
- 本地存储
- 会话存储
如何确保有人不会使用开发者工具来更改此类信息, 因为一切都在客户端上,我没有使用服务器会话?以上任何一种都安全吗?
有没有办法在这个问题上使用服务器会话?
加密身份对客户来说是否足够安全?在这种情况下,如果有人 删除cookie等...
在处理用户角色时,这类问题变得更加复杂。如果没有太多客户信息,我找不到任何合理的帖子来处理这个问题
答案 0 :(得分:2)
身份验证后,使用服务器端会话来存储用户信息(名称,角色,...)。用户无法更改此信息,因为客户端计算机上唯一的内容是会话ID。
为了安全起见,您应该检查服务器端客户端发出的所有请求是否具有所需的权限级别。永远不要相信来自客户的数据。
因此,没有任何建议是安全的,您将需要服务器会话。