0
当用户登录时,将生成一个随机会话ID并将其存储在其数据库表格行以及其会话变量中。在访问任何经过身份验证的网站部分之前,请检查会话变量中存储的会话ID是否与用户的表格行中的会话ID相同。
我的问题是,是否比在会话变量中设置布尔标志更安全?这种会话管理/认证的方法好吗?
谢谢
A
回答
0
这稍微安全些。现在,攻击者必须能够阅读与客户的部分通信(比如,通过WiFi嗅探器坐在办公室外面,或者在麦当劳旁边的桌子旁,或者在公车旁边)。但是,这仍然不是一个特别好的主意。谷歌“重播攻击”,对于初学者...
+0
MITM攻击不是特定于* authentication *协议,而是传输安全性,所以你的回答没有多大意义。 – Henrik 2012-08-31 14:08:59
相关问题
- 1. 这种方法很好吗?
- 2. 如何管理用户认证/会话?
- 3. 这是一个很好的管理休眠会话吗?
- 4. 这是一种处理sql连接的好方法吗?
- 5. 为Windows Azure上的会话管理选择一种方法
- 6. 这是管理COM初始化的好方法吗?
- 7. 你知道更好的方法来写这种方法吗?
- 8. 这种方式是构建插件的好方法吗?
- 9. 这种布尔方法是不好的做法吗?
- 10. Spring WS UsernameToken认证+通过spring-boot进行会话管理
- 11. 更好的方式来管理会话数据
- 12. 会话管理
- 13. 有没有更好的方法来实现这种内存管理?
- 14. 这是一种可接受的资源管理方式吗?
- 15. 用这种用法挥发很好吗?
- 16. 这是学习java会话管理
- 17. 这是否适用于会话管理?
- 18. 这是一个管理ASP.NET MVC中的Disposable对象的好方法吗?
- 19. 这是一个管理我的视图控制器堆栈的好方法吗?
- 20. 这是一种加密的好方法吗?
- 21. Theres是做这种查询的更好方法吗?
- 22. 这是一种在Ruby中处理的不好的方法
- 23. 国际化mvc3 - 这是最好的方法?会话,cookie?
- 24. Perl会话管理
- 25. IBMWorklight会话管理
- 26. iphone会话管理
- 27. 会话管理Jaggery.js
- 28. JSF - 会话管理
- 29. Rails会话管理
- 30. JSF会话管理
您存储在会话字典中的会话变量是一个简单的内存字典集,通过来自客户端的HTTP cookie接收会话ID。该会话ID已经随机生成一个很大的密钥空间,或者用户可以猜对方的会话ID,这样你生成一个新的会话ID是完全浪费和不必要的。让PHP和任何你得到的框架来处理认证。确保使用HTTPS加密传输,并且足够安全。 – Henrik 2012-08-31 14:11:35