不过是C#还是php我之前的代码都是:用户通过账号密码登录,我验证正确之后把用户信息保存在session中,因为session的信息是和该用户绑定的,所以每次用户发送请求过来之后,我都判断session是否存储有用户信息,如果有,那么就是已登录状态的,给他处理接下来的请求,用户退出则清除session信息即可。
请问一下,使用这种方式来验证请求是否合法的方式有什么安全隐患吗?跟生成token的验证方相比式有哪些安全上的缺陷吗?
通过验证session是否过期来确定用户是否已通过登录验证的方式有哪些安全问题?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
3条回答 默认 最新
悬赏问题
- ¥15 c程序不知道为什么得不到结果
- ¥40 复杂的限制性的商函数处理
- ¥15 程序不包含适用于入口点的静态Main方法
- ¥15 素材场景中光线烘焙后灯光失效
- ¥15 请教一下各位,为什么我这个没有实现模拟点击
- ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
- ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
- ¥20 有关区间dp的问题求解
- ¥15 多电路系统共用电源的串扰问题
- ¥15 slam rangenet++配置