从页面到页面进行身份验证和跟踪用户身份验证状态的最佳方法是什么?有人说 session 状态,有人说 cookie?
我是否可以只使用具有用户 ID 的 session 变量,并在进行身份验证时,创建一个包含用户信息的自定义 User 类。然后,在每个页面上,验证 session 变量是否仍处于事件状态并从 User 对象访问基本用户数据?
有什么想法吗?有什么好的例子吗?
最佳答案
没有完美的方法来做到这一点。如果您将其存储在 cookie 中,您会担心 cookie 可能会被盗。如果您将其存储在 session 中,您将受到攻击,因为 session 可能会被劫持。
就个人而言,我倾向于认为 session 更可靠一些,因为客户端上存储的唯一内容是 session key 。实际数据保留在服务器上。如果您愿意,它会在靠近胸部的地方打牌。然而,这只是我的偏好,一个好的黑客无论如何都能通过劣质的安全措施。
不管你做什么,都不要试图自己实现。你会弄错的。使用您的特定平台提供的身份验证系统。您还需要确保您有足够的安全预防措施来保护身份验证 token 。
关于asp.net - Web 身份验证状态 - session 与 Cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/356562/