0
A
回答
2
是的,这绝对是一个安全风险 - 这意味着,如果用户可以发现另一个用户的_id(例如,如果您不小心将它显示在某处),他们可以以该用户身份登录。更糟糕的是,_id在事后无法更改,因此无法强制另一个会话进行远程注销或从被盗的cookie中恢复。
使用会话登录,而不是用户特定的数据。
0
一种评论,一种答案。
提出的选择都不好;也被称为Morton's fork。在cookie
放的userid:不好,因为,作为duskwuff说,cookie可以被窃取和ID传递回来没有办法阻止它。
将用户名和加密的密码放在cookie中:由于完全相同的原因,不合适。
第三个选项是优选的:发回具有有限生存期的加密会话ID。一旦服务器确定会话超时,请不要再使用它。
相关问题
- 1. jQuery手风琴和饼干问题
- 2. java HtmlUnit饼干和Apache饼干 - 兼容?
- 3. JQuery饼干饼干
- 4. RestTemplate和饼干
- 5. 和JavaScript饼干
- 6. 饼干和JavaScript
- 7. 使用相同的_Id在骨干和mongodb的两个模型
- 8. _id与_id MongoDB中
- 9. 卷曲和饼干
- 10. 会话和饼干
- 11. jQuery和PHP饼干
- 12. 流星和饼干
- 13. AngularJS $ http和饼干
- 14. Codeigniter HMVC和饼干
- 15. PHP饼干和MySQL
- 16. MongoDb和GridFS - 来自文件上传的任何病毒风险?
- 17. jQuery的饼干和Blogger
- 18. Android上的WebView和饼干
- 19. Grails的RemoteLink和饼干
- 20. Android的BasicCookieStore,饼干和HttpGet
- 21. ActionsScript的navigateToUrl()和HTTP饼干
- 22. 风险
- 23. 风险
- 24. 风险的mod_proxy
- 25. 饼干
- 26. 饼干?
- 27. 饼干
- 28. 饼干
- 29. Mongodb - geospacial _id?
- 30. 饼干的WebView
好的,谢谢我将使用登录和pwd – Ajouve