Здравствуйте разработчикам коллегCookie-вызовы, храня вошедшего пользователя
меня явно недооценены вещь при разработке мой первый сложный веб-сайт, где требуется создание пользователей и Логин.
Похоже, что файлы cookie могут быть отредактированы и изменены пользователем вошедшим в систему с помощью некоторых инструментов разработчика, то есть в Google Chrome. Этого я никогда не думал.
Итак, вот моя проблема.
- Когда пользователь вошел в систему, я сохраняю имя пользователя в файле cookie.
- Если имя пользователя-cookie не пустое, и я могу найти файл пользователя с этим именем, пользователь сам вошел в систему. В противном случае ни один пользователь не вошёл в систему.
- Когда пользователь выходит из системы, я просто заканчиваю файл cookie, который отлично работает.
Проблема в том, что пользователь, очевидно, может редактировать содержимое файла cookie, вне веб-приложения или с помощью javascript.
Что было бы правильным подходом здесь, чтобы гарантировать, что cookie-имя пользователя не будет скомпрометировано каким-либо образом, другим моим веб-приложением?
Выполнение их только для чтения невозможно, полагаю. Наверное, шифрование файла cookie и последующее дешифрование могут работать. Тогда cookie будет бессмысленным для пользователя, и если он будет изменен, это приведет к выходу из системы, поскольку при дешифровке отредактированного файла cookie не будет найдено допустимого имени пользователя.
Я преследовал куки Google, и кажется, что существует много файлов cookie xxID, содержащих мусор. Означает ли это, что шифрование/дешифрование является единственным способом заставить его работать? Я также рассмотрел какой-то билет для входа, но для этого потребуется просмотр таблицы каждый раз, когда пользователь взаимодействует с моей веб-страницей.
Может ли кто-нибудь дать мне подсказку относительно того, что было бы правильным подходом?
Заранее спасибо С наилучшими пожеланиями, Карстен Heitmann
А, я вижу. Я должен попытаться сохранить какой-то временный файл сервера для каждого сеанса пользователя. Пользовательский файл создается при входе в систему и удаляется при выходе пользователя из системы. Этот конкретный токен должен быть случайным токеном какого-либо типа, сохраненным как клиентская сторона cookie. Если кто-то пытается отредактировать содержимое файла cookie, он будет указывать на никуда, и, следовательно, сеанс недействителен. Да. Полагаю, это сделало бы трюк. –
О, bugger. Не закончил мой вход, извините. –
AAARGH .... Я новичок на этом сайте, извините :-) Похоже, что введите key = add comment. В любом случае ... Я попытаюсь реализовать эту идею на мгновение. Сессии никогда не происходили со мной. Большое спасибо за эту идею. С уважением, Karsten –