我想使用 COOKIES 为我的用户提供登录持久性。但是,我阅读和了解的越多,我就越意识到它们可以被篡改。因此,使它们不是最安全的方法。我只存储用户的 id,以便在他们登录时跨多个页面记住它们。当然,我知道 SESSIONS 是最好的方法,但仅就安全性而言。对?它们不像 COOKIES 那样不利于持久性,这就是我想要的。这样用户就不必每次关闭并重新打开浏览器时都重新登录。我能做些什么?
问问题
212 次
1 回答
0
虽然评论中已经回答了这个问题,但让我强调一个要点:登录持久性没有别的意思,只是将用户登录(或其中的很大一部分)从应用程序的责任和控制转移到浏览器的责任,你不要在你无法控制的设备上控制你无法控制的操作系统上的 runninf。
这并不像听起来那么可怕,例如,一个面向内部的 web 应用程序,所有登录都来自一个安全结构(如域)中的受监督操作系统,这可能是完全可以接受的。
OTOH,根据您的应用程序处理的数据的类型和价值,这可能绝对不能接受:用户从某种公共互联网终端登录以通过登录持久性更新他们的医疗保健数据可能会使您在某些司法管辖区入狱。因此,让我建议,在查看登录持久性的方法之前,请重新访问if和context。
于 2012-08-27T18:30:43.490 回答