几天前,我在 Pyramid 框架上启动了我的网站,出于性能原因,我选择session.type = cookie
了pyramid_beaker。所以在cookie中我加密了user_id,它看起来像这样:
usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int"
# for example here is encrypted id 1
而不是我试图用饼干代替。我已经在 id 2 下登录,更改了之前的 cookie,现在我在 id 1 下自动登录了!!!
正常吗?安全吗???用它的超级算法加密还有什么用?那么,某些病毒可以窃取某些用户的 cookie 并以他的 id 登录吗?安全在哪里???
谁能解释我?谢谢!