背景故事:我们运营着一个拥有数千名用户和少数管理员的网站。其中一些管理员不需要全部访问该网站,所以我想通过授予他们个人权限来限制他们的访问权限。
我的计划是在用户登录时设置一个会话,如果有用户任务的话。然而,我担心这可能是一个不安全的行动。
会话可以由用户客户端操作吗?在这种情况下,如果普通用户知道权限名称并为自己设置会话,他们就可以访问管理功能。
我在Stackoverflow上发现了一些相关的问题,但他们没有给我足够的信息。
您已经为管理员和用户提供了登录信息,因此请保存他们拥有的权限类型,并授予他们根据..修改数据的权限。。只要您的会话状态是加密的,就很难在客户端进行操作。如果您担心现有会话和cookie的安全性,这里有一个链接可以确保其安全。保护您的会话
这是完整的文章如何使您的会话和cookie安全。。。
您确实可以存储服务器变量,如用户代理、ip地址等(甚至JavaScript变量),但它们只适用于验证持久cookie数据是否与客户端的新连接匹配。ip地址不是一个好主意,除非你知道客户端(只像你一样)不会在每次页面加载时都发生变化(就像AOL一样)。
现代网络浏览器和LastPass等第三方服务可以存储登录凭据,这些凭据只需要按键(有时甚至不需要按键)即可将数据发送到登录表单。持久cookie只适用于那些拒绝使用其他可用信息的人。最终,不再需要持久的非会话cookie了。
除非它只通过SSL传输,否则就没有安全cookie这回事。当使用持久的非会话cookie(比如记住我)时,可以通过完全按照你正在做的事情来减轻一些影响,但不要用你想做的方式。