0
A
回答
1
會話ID是通常只是一個隨機的(不透明),其在客戶端和服務器之間傳遞的標識符。服務器使用標識符在數據庫中查找狀態信息(例如當前購物車內容)。
實際上,您必須相信客戶端會保護會話ID,因爲一旦您將它發送給它們,它就會成爲一個靜態令牌 - 沒有任何加密技術可以解決任何人都可以提供會話ID,然後假裝成用戶。
有一些東西,你可以做些什麼來緩解問題:
確保您使用的是「足夠安全」隨機數生成器來構建 令牌
確保的傳輸令牌儘可能安全以防止竊聽或客戶端盜用(例如,使用SSL,httponly和安全cookie標誌)
給令牌一個合理的超時時間,並要求用戶使用例如定期請求新的令牌。刷新令牌或重新登錄。
很多人都在思考如何實際操作 - 查看OAuth2/OpenID Connect協議。
相關問題
- 1. 會話存儲安全
- 2. HTML5會話存儲是否安全?
- 3. 在iPad/iPhone上的用戶會話期間安全地存儲安全密鑰?
- 4. 在zope中安全地存儲沒有會話的變量
- 5. 如何安全地存儲應用程序ID /密鑰?
- 6. 會話中存儲的數據安全性如何
- 7. 與Redis存儲會話安全性如何?
- 8. 如何安全地存儲密鑰?
- 9. 不知道如何存儲會話ID在SQL會話狀態
- 10. 安全地存儲數據
- 11. 本地存儲和會話存儲
- 12. 如何安全地統計會話:Session_Start/End in Global.Asax安全/足夠安全嗎?
- 13. 本地存儲會話
- 14. 會話ID驗證 - 安全 - 離子/角
- 15. 會話安全
- 16. 如何存儲會話
- 17. AngularJS如何存儲會話
- 18. 如何安全地解開textField.text並將其安全地存儲在屬性中?
- 19. 在會話中存儲用戶ID?
- 20. 會話ID未被存儲在cookie中
- 21. php在會話中存儲用戶ID?
- 22. 在會話結束後安全地存儲對實體Bean的引用?
- 23. PHP會話安全性:將會話存儲在數據庫中與更改會話保存路徑?
- 24. asp.net會話安全
- 25. PHP會話安全
- 26. PHP - 會話 - 安全
- 27. Rails:在「會話」中存儲數據是否安全?
- 28. 將用戶對象存儲到會話中的安全性
- 29. 在PHP會話中存儲POST數據時的安全隱患
- 30. 在數據庫或會話中存儲安全性查找?