【发布时间】:2010-12-28 23:29:36
【问题描述】:
我正在开发一个 Web 应用程序,其中 UserId 和 RoleId 起着至关重要的作用...将这些值存储在会话中是否安全。其他可以是隐藏字段、cookie..哪个更安全?
对此有任何建议...
【问题讨论】:
-
我们将用户 ID 和角色分配存储在会话状态中,这很好。即使这些值被泄露,它们也不会提供身份验证详细信息或类似内容。例如。密码和敏感的用户详细信息绝对不会存储在会话变量中。会话变量更安全,但通常 Web 服务器位于 DMZ 中,这是一个不太安全(更暴露)的环境。 HTH :)
-
好问题,存储数据(例如分配给当前用户的角色)可以提高性能,而无需检查数据库等(尤其是在 n 层架构中)。