0
我並沒有對整個會話管理事務感興趣。每個請求發送Cookie來識別用戶?
現在我已經實現this照顧的登錄過程,也this例子來保護我的服務從XSRF攻擊。
但現在,我有它,我想:
- 如果我打開SSL,是餅乾安全連接建立起來之前發送?那麼這個會話ID(cookie)是否安全?
- 發送每個請求上的cookie以識別用戶是否保存?例如。如果用戶想要查看他的/她的設置,以確保它不是試圖從其他用戶檢索設置的虛假請求。這是否明確我的意思?
我會在每個請求上發送會話ID,並將其與數據庫中的會話ID進行比較,如果請求令牌(XSRF安全性)良好,我執行請求 - 或者開銷過大?
如果我在這裏做的是100%正確的,並且我想確保不會不必要地破壞我花時間實施的任何安全措施,我仍然不十分自信。
好的,每次都會從客戶端收到cookie,查看數據庫,例如'用戶客戶端= getUserFromCookie(cookie);'並繼續處理*那個用戶的請求,對嗎?我在服務器端的每個**請求都會這樣做,如果我現在正確地對待了這個請求,我希望它能被「cookie保護」。 – displayname
這是做到這一點的一種方式。但是,由於您首先創建了Cookie,因此您還可以對Cookie中的所有信息進行編碼,使用MAC進行保護並完全跳過數據庫查找。 – MvdD
我不確定我是否可以在這裏關注你。對不起,我還沒有這個東西的心態。你能否詳細說明我如何擺脫數據庫查找? – displayname