将用户的角色存储在Codeigniter的会话中是否安全?
该角色将决定用户将拥有的功能;这是管理员,普通用户或高级用户。
我还将会话存储在数据库中以获得额外的安全性,但我想知道是否应该使用备用路由,例如查询用户的ID并检查其角色,但我相信只需更进一步在身份验证中。
请告知。
答案 0 :(得分:1)
是的,那是安全的。如果它存储在数据库中,那么用户几乎无法篡改数据。
答案 1 :(得分:0)
如果角色大多是静态的,那么在会话中存储角色以避免一直查询它应该没问题。
在会话有效(登录或未过期)编辑用户角色时,只考虑边缘情况下要做什么。会话是否应该为他无效,所以他必须重新登录?或者让您的应用程序知道该角色现在已过时且应该从数据库中刷新?