我的问题可能是一个非常常见的;)我想实现一个网站的用户会话。此操作的限制如下:
- 它必须没有cookie工作,因为它们可以被禁用。
- 它必须在GET和/或POST表单变量中不传递会话id(或会话相关id)。
- 它必须在不检查HTTP Referer头字段的情况下工作,因为这可能是空的。
- 它必须没有JavaScript工作,因为这可以被禁用。
我发现唯一的事情是使用HTTPS(这是一个很好的选择…)和"文摘访问身份验证"。唯一的缺点是MD5被用作哈希机制,被认为是不安全的。
是否有办法建立一个用户会话,不能轻易地通过应用上面提到的限制被劫持?摘要访问身份验证解决了这个问题吗?缺点是什么?
编辑:我发现了另一种可能有效的方法:如果网站是HTTPS,那么可以在服务器端抓取SSL/TLS会话标识符(例如,如果在服务器端使用Perl,则使用mod_perl)并使用该会话id。注意,与这样一个会话id的用户关联必须单独完成。但是仍然使用这种方法,服务器端总是有一个有效的安全会话id。这是正确的吗?
如上所述:https://security.stackexchange.com/questions/48856/is-using-an-ssl-session-id-along-with-a-cookie-based-session-verification-more-s
最简单和最安全的方法(考虑到我到目前为止收集的信息)似乎是:
- 本网站仅支持HTTPS协议。
- 会话id 是 SSL/TLS会话标识符,该id存储在数据库中,可能与用户帐户记录相关联,也可能不与用户帐户记录相关联(用户身份验证使用正常形式通过HTTPS完成)。
如果有人有更好的方法,我很乐意看看。