Предположим, что у вас есть «код» cookie, содержащий строку из 80 символов, это ваш код доступа для приложения. Рекомендуется обновлять этот код каждый запрос к вашему приложению или же он восстанавливает его при создании первого сеанса страницы? Я решил использовать первый подход, но заметил, что, хотя есть длинный запрос на опрос, невозможно отправить запрос (потому что мне нужно ждать крайних сроков запроса, чтобы получить новый файл cookie). Какие-либо предложения?Безопасность - рекомендуется восстановить коды авторизации для каждого запроса?
ответ
Если вы обновляете свой код по каждому запросу, то кто-то обновляется слишком быстро, они будут работать в состоянии гонки HTTP и потерять свою сессию. Это создает кошмар юзабилити.
Регенерировать ваши идентификаторы сеансов каждый раз, когда увеличивается количество привилегий (например, пользователь входит в систему, или если у пользователей есть функция «изменить привилегию» для переключения между режимом пользователя и режимом администратора и т. Д.). Если вы хотите регулярный таймаут, сделать что-то вроде этого:
session_start();
if(!isset($_SESSION['birth'])) $_SESSION['birth'] = time();
if(time() - $_SESSION['birth']) > 60) {
// Every minute
session_regenerate_id();
$_SESSION['birth'] = time();
}
Важнее безопасности использует HTTPS (TLS 1.1+, если вы можете уйти с ним) с HSTS для предотвращения фиксации сессии, указав файл энтропии (/dev/urandom
) и, необязательно, сеансы привязки к IP-адресу и пользовательскому агенту. (Вы можете сделать это с помощью подобной логики прикладного уровня с опубликованным выше фрагментом.)
- 1. Проверка авторизации для каждого запроса в Джанго
- 2. Весна Безопасность авторизации запроса на ожидание
- 3. Замена коды для маркеров в OpenID Connect коды авторизации потоке
- 4. Оформить разные коды для каждого запроса | Случайные | Сплит-тестирование
- 5. Запросить учетные данные AD для каждого запроса авторизации OAuth2
- 6. Почему строка авторизации изменяется для каждого запроса firefox?
- 7. Весна Безопасность авторизации для пользовательских групп
- 8. Весна Безопасность продлевает срок годности токена JWT для каждого запроса
- 9. Прототип-запрос Ajax.Updater Безопасность/аутентификация для каждого запроса
- 10. Ошибка авторизации IIS для запроса
- 11. Новый экземпляр IAuthorizationFilter для каждого запроса
- 12. Безопасность для запроса временных логинов
- 13. Восстановить параметры запроса для состояния
- 14. Для этого запроса авторизации отказано. Всегда
- 15. Весна Безопасность метод авторизации не работает
- 16. ДелегированиеHandler для добавления маркера авторизации для запроса
- 17. powershell catch коды исключений для запроса wmi
- 18. Для каждого SQL-запроса
- 19. запроса для каждого элемента
- 20. Весенняя безопасность Пользовательские таблицы авторизации пользователя
- 21. Заголовок авторизации запроса POST
- 22. ngResource динамически устанавливает заголовок для каждого запроса
- 23. Безопасность запроса Php PDO
- 24. Включена ли OnAuthorization для каждого запроса?
- 25. Как восстановить все мои коды в Eclipse?
- 26. Весна Безопасность OAuth2 Проблема CORS для заголовка авторизации
- 27. Передача заголовка авторизации для запроса маркера oauth
- 28. Linkedin - код авторизации Exchange для запроса Token
- 29. Ошибка авторизации URL-адреса для запроса
- 30. Не рекомендуется ли хранить код авторизации oauth2.0 в файле cookie?
Не могли бы вы изменить свой вопрос и, возможно, добавить несколько примеров? Это может объяснить ваш вопрос немного лучше, и вы с большей вероятностью получите ответ. Благодаря! – SilverlightFox