什么是认证和跟踪用户认证状态从页到页的最好的方法?有人说会话状态,有人说饼干?
我可以只使用一个具有用户ID的会话变量,并在认证后,安装一个具有用户信息的自定义User类。然后,在每个页面上,验证会话变量是否仍然处于活动状态,并从User对象访问基本用户数据?
有什么想法吗?任何好的例子?
@H_403_6@解决方法
没有完美的方式做到这一点。如果你把它存储在一个cookie,你会发现cookies可以被盗。如果你把它存储在会话中,你会采取flak,因为会话可以被劫持。
就个人而言,我倾向于认为一个会话有点更可靠,因为存储在客户端上的唯一的事情是会话密钥。实际数据保留在服务器上。如果你愿意的话,它会把牌放在离胸部较近的地方。然而,这只是我的偏好,一个好的黑客将能够得到过去的腐败安全,不管。
不管你做什么,不要试图自己实现。你会得到它错了。使用您的特定平台提供的身份验证系统。您还需要确保您有足够的安全预防措施来保护身份验证令牌。
@H_403_6@ @H_403_6@ 原文链接:https://www.f2er.com/aspnet/254125.html