0

我想做一个网络应用程序,您可以在其中与其他用户交互,但我不希望用户使用登录名和密码(如BrowserQuest)注册。

然后,我想使用一个随机数存储在本地存储中的变量。但我认为这不安全,因为如果有人分析我的代码,查看名称存储在哪个变量中,然后在 URL 中写入:

javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0);

他可以窃取他的帐户。

然后我想到了每个 iPhone/iPod/iPad 的唯一 ID。但是在 javascript 中,我们无法访问它:Get iphone ID in web app。也有IP,但是不靠谱。还有cookies,但在这里,用户也可以使用注入。

在我的 webapp 中识别用户的最佳方式是什么?

4

1 回答 1

2

一种解决方案是给每个人一个只有他们知道的唯一会话 ID(可能是 cookie 形式)。这会将它们连接到后端的用户 ID。

另一种解决方案是将 cookie 中的用户 ID 设置为签名 cookie。这同样取决于您的后端,但您可以在此处查看 python 解决方案:http ://webpython.codepoint.net/mod_python_publisher_cookies_signed 。

于 2012-06-09T19:24:49.290 回答