6

所以我正在使用 Play!网站项目的框架。
我正在使用会话来确定用户是否已登录:

session("connected", user.getId().toString());

然后,我可以在需要时轻松识别谁是用户。

我有两个问题:

  1. 这是最佳做法吗?
  2. 我的简单登录系统是否存在漏洞,如何消除它们?
4

1 回答 1

5

它既简单又安全,因为会话范围的 cookie 是使用密钥签名的。如果不需要为每个会话存储大量数据,那应该没问题。

查看现有的解决方案(即 zentasks 示例)。

编辑

另一方面,您可以考虑使用 Play Authenticate,我在samples/java/play-authenticate-usage的fork(分支 2.0.4_session)中添加了会话处理,它只有 3 次提交,因此很容易合并它到现有的实现。play-authenticate-usage

于 2012-08-22T14:33:04.007 回答