在 Web 应用中识别用户的最佳方式



我想做一个与其他用户互动的网络应用程序,但我不希望用户使用登录名和密码(如BrowserQuest)进行注册。

然后,我想使用存储在本地存储中的随机数变量。但我认为这并不安全,因为如果有人分析我的代码,并查看名称存储在哪个变量中,然后在 URL 中写入:

javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0);

他可以窃取他的帐户。

然后我想到了每部iPhone/iPod/iPad的唯一ID。但是在javascript中,我们无法访问它:在Web应用程序中获取iPhone ID。还有IP,但它不可靠。还有饼干,但在这里,用户也可以使用注入。

在 Web 应用中识别用户的最佳方法是什么?

一种解决方案是给每个人一个只有他们知道的唯一会话ID(可能是cookie形式)。这会将它们连接到后端中的用户 ID。

另一种解决方案是将 cookie 中的用户 ID 设置为签名 cookie。同样,这取决于您的后端,但您可以在此处看到python解决方案:http://webpython.codepoint.net/mod_python_publisher_cookies_signed。

相关内容

  • 没有找到相关文章

最新更新