用户登录后,我设置会话密钥和 cookie,并在从一个页面遍历到另一个页面时始终检查是否设置了会话密钥并允许用户访问数据。
如果用户没有注销并关闭浏览器,会话密钥将被销毁,但 cookie 仍然是他们的。因此,当用户再次打开浏览器时,首先我检查会话密钥是否存在,如果不存在,则检查 cookie。如果存在 cookie,请再次为此实例设置会话密钥,并根据之前的方法授予他访问权限。
用户注销时,只需删除 cookie 和会话密钥。
如果 cookie 被禁用,此方法可以正常工作,因为只处理会话。
这是每个人用于他们网站的最安全的方法吗?我可以改进它以使我的网站更安全吗?