如何在Web会话期间验证用户?

时间:2015-06-11 20:15:10

标签: security session client server

好吧,我现在已经实现了会话处理,但我不太确定如何使用它。

我关注的是:

让我们说用户已登录并希望从特定商店获取商品列表。因此,客户将向我发送id商店。 id将链接到我在MySQL数据库中使用的商店实体的实际ID。入侵者可以只交换id因此接收错误的"来自我服务器的数据。

以下是我的问题:为了安全起见,在有效负载内通过HTTPS发送会话ID是否足够?如果我不希望恶意用户能够从服务器中引诱他们不应该看到的信息,那还有什么我必须考虑?我对网络开发比较陌生,但我正在写一些应该成为某种商业软件的东西......总有一天:D但是,即使它是为了学习新东西,它是如何安全地完成的?

1 个答案:

答案 0 :(得分:0)

  

入侵者只能交换该ID,因此从我的服务器接收“错误”数据。

您可能已经在数据库中获得了用户和商店之间的关联。因此,当您收到商店商品的请求时,请检查传递的商店ID,以查看当前会话的用户是否与商店相关联。如果用户无权查看商店,则拒绝该请求。

身份验证只是故事的一半。您需要对用户在您的应用程序中执行的每个操作执行此类授权检查。