如果我们可以对会话数据进行签名和加密,为什么人们建议对会话数据进行服务器端存储?
我的意思是,如果我们对它们进行签名和加密(因此可以将所有数据存储在会话cookie中(,是不是几乎不可能出现任何安全问题?我在这里错过了任何安全问题吗?我还应该考虑什么?
简而言之,我询问的是服务器端会话数据存储与加密会话cookie的优缺点。
这有一个问题。会话数据有时很大,在某些情况下只有几百 kb。如果必须随每个请求一起发送,则会消耗大量带宽。
但是,如果会话数据很小并且有数百万用户,则可以通过删除用于处理会话数据的数据库来降低复杂性。
无论如何,我还没有看到一个网站这样做。
在客户端,您必须拥有密钥才能与服务器交互(例如,更新您的购物车(,然后攻击者可以获取密钥,对其进行解密,更改它,并使用密钥重新加密,然后将其发送到服务器。 也就是说,最终用户就是攻击者。
加密的目的是避免数据在传输时被拦截,如果最终用户正在入侵您的网站,它将无法解决。