亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

我在寫一個web程序,有些頁面需要登錄,有些不需要,登錄之后我向客戶端寫入了一個cookie,這個cookie能存id和用戶名嗎

我在寫一個web程序,有些頁面需要登錄,有些不需要,登錄之后我向客戶端寫入了一個cookie,這個cookie能存id和用戶名嗎

哈士奇WWW 2019-01-04 08:45:22
是不是會被別人利用?而且我在每一個頁面怎么驗證是否登錄?單靠cookie可以嗎?還是得結合服務器進一步驗證session是不是也有?真實開發這都是怎么寫的啊
查看完整描述

4 回答

?
冉冉說

TA貢獻1877條經驗 獲得超1個贊

你這個問題其實是兩個問題
1,cookies 和 session 的方式安全嗎?安全,不然也沒有什么其他辦法用戶記錄用戶狀態啊。所以用戶登錄成功以后在服務端生成session并在客戶端生成 cookies,讓它們彼此聯系用戶下次用戶從客戶端請求服務器端的時候攜帶 cookies 能找到 session。但是你需要使用一個隨機的或者 UUID等不方便識別的作為cookies存在客戶端,然后自己手動綁定其和session的關系。當然使用 HTTPS 以后會更安全。
2,有的接口需要有的接口,可以使用攔截器通過 API 的 mapping 控制精細的權限校驗。

查看完整回答
反對 回復 2019-02-18
?
慕俠2389804

TA貢獻1719條經驗 獲得超6個贊

Cookie存身份認證的信息,比方說角色,服務器可以生成cookie,通過key驗證是否為自己生產的cookie,沒有cookie或者不是服務器生成的cookie就是未登錄,遇到權限頁面可以通過解析cookie中的信息(即role)來判斷是否允許放行,沒有必要存取重要的用戶信息,建議研究一下jwt和無狀態授權

查看完整回答
反對 回復 2019-02-18
?
萬千封印

TA貢獻1891條經驗 獲得超3個贊

可以存是可以存,但是存了也沒用啊,難道客戶存哪個id你就認為這個id是合法登錄用戶嗎?

查看完整回答
反對 回復 2019-02-18
?
呼喚遠方

TA貢獻1856條經驗 獲得超11個贊

這應該配合服務器Session進行驗證,因為在本地的cookie是可以被隨意修改的,在本地不應該儲存重要的用戶信息(如密碼)

查看完整回答
反對 回復 2019-02-18
  • 4 回答
  • 0 關注
  • 1008 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號