所以我正在使用 Play!网站项目的框架。
我正在使用会话来确定用户是否已登录:
session("connected", user.getId().toString());
然后,我可以在需要时轻松识别谁是用户。
我有两个问题:
- 这是最佳做法吗?
- 我的简单登录系统是否存在漏洞,如何消除它们?
问问题
4308 次
1 回答
5
它既简单又安全,因为会话范围的 cookie 是使用密钥签名的。如果不需要为每个会话存储大量数据,那应该没问题。
查看现有的解决方案(即 zentasks 示例)。
编辑:
另一方面,您可以考虑使用 Play Authenticate,我在samples/java/play-authenticate-usage的fork(分支 2.0.4_session)中添加了会话处理,它只有 3 次提交,因此很容易合并它到现有的实现。play-authenticate-usage
于 2012-08-22T14:33:04.007 回答