私の現在のアイデアは、uid、username、password、isLogined# を含む User オブジェクトを定義することです。 ##待って。次に、interceptor を設定します。ユーザーが最初のリクエストを行う (セッションが開始する) と、データベースからの user.isLogined に基づいてユーザーがログインしているかどうかが判断されます。 isLogined を true に設定すると、ログイン ページにリダイレクトされます。
uid が Cookie に設定されている場合、その uid は他人によって偽造される可能性があり、潜在的なセキュリティ リスクが生じます。
補充
滿天的星座2017-05-17 10:10:17
このリスクは非常に大きいです。uid が他の人のものに変更され、その人がたまたまログインしている場合、別の人としてログインすることになります
計画に従ってください:
1. 暗号化する Cookie の uid または意味のないランダムな文字列を設定します。
2. この文字列を使用してデータベースと比較するか、キャッシュと比較し、同時に IP を検証します。ユーザーエージェントによるセキュリティ強化
3、セッション有効期限ポリシーの検討
我想大声告诉你2017-05-17 10:10:17
まず、ユーザー情報をデータベースに保存して設定する必要がありますisLogined 默认为FALSE,每次登陆成功后更新为TRUE,退出后更新为FALSE;判断登陆成功的标志用userName userPass 匹配,还有isLogined 判断;最后设置判断级别,先isLogined 后 用户密码;
PHP中文网2017-05-17 10:10:17
ログイン ステータスをデータベースに保存しないこと、少なくともリレーショナル データベースには保存しないことをお勧めします。トークンはユーザーのログイン検証が完了した後に返され、後続のすべてのユーザー リクエストで認証フィールドにこのトークンが含まれます。ヘッダーの詳細については、jwt と関連する実装を見てみましょう
过去多啦不再A梦2017-05-17 10:10:17
現在の方法によると、私がログインしていない匿名ユーザーであり、インターフェースの1つを要求し、データベースからインターセプトされて、user.isLoginedに基づいてユーザーがログインしているかどうかを判断すると、問題が発生します。 。 user.isLogined のユーザーは誰ですか?
リクエストするときは、セッションを検証するためにインターセプタを使用するだけで、リクエストごとにデータベースにアクセスするため、ユーザーのログイン成功情報を入れることをお勧めします。
