Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我注意到很多会话/cookie 设置只存储令牌值。我还存储用户名,以便它检查数据库中的用户名和会话值,这只是一个小的附加安全性。但我想知道这是否存在安全风险,因为如果黑客劫持了他们的令牌代码,他们就会知道属于哪个用户?我让令牌每两分钟过期一次。谢谢。
用户名通常可以安全地存储为 cookie,只要它们不是访问敏感区域时检查的唯一数据。
将所有数据存储在散列的 cookie 中是更好的做法,这对于大多数应用程序来说将更加安全和安全。
将用户名保存在 cookie 中不是问题,但问题是您如何使用此用户名 cookie。如果它被用于身份验证,则会产生问题。您必须确保,新手用户也可以更改 cookie。