不过是C#还是php我之前的代码都是:用户通过账号密码登录,我验证正确之后把用户信息保存在session中,因为session的信息是和该用户绑定的,所以每次用户发送请求过来之后,我都判断session是否存储有用户信息,如果有,那么就是已登录状态的,给他处理接下来的请求,用户退出则清除session信息即可。
请问一下,使用这种方式来验证请求是否合法的方式有什么安全隐患吗?跟生成token的验证方相比式有哪些安全上的缺陷吗?
通过验证session是否过期来确定用户是否已通过登录验证的方式有哪些安全问题?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
3条回答 默认 最新
- 2015-02-13 14:22回答 5 已采纳 用session保存用户名,查表得到权限。当然最好是使用过滤器一类的技术(很多框架有类似的概念,比如spring struts等等),这样可以避免权限代码的分散。
- 2016-04-05 22:07回答 1 已采纳 All values in the $_SESSION variable are stored only on the server. The client is only given a ses
- 2016-07-30 17:01回答 6 已采纳 1 一般都是用过滤器Filter,拦截用户的所有请求,如果没有登陆会话信息,就跳转到登陆页面。 2 需要配置web.xml中配置会话超时时间 ``` 3 ``` 那么浏
- 2023-11-27 11:28微软技术分享的博客 本文将深入探讨如何通过 Flask 和 Flask-WTF 构建一个完整的用户注册与登录系统,以及如何对页面进行优化美化,提高用户体验。通过这一系统,用户能够方便注册账户、安全登录,并且我们能够有效管理用户的会话信息,...
- 2016-03-30 12:43回答 1 已采纳 http://www.cnblogs.com/knowledgesea/archive/2012/11/20/2779185.html
- 2017-12-01 16:07回答 1 已采纳 session存用户id就可以。别的信息可以随时根据id去数据库取。 session在服务器上占用内存。每个用户存的数据越多,系统能同时并发处理的用户就越少。
- 2019-07-11 22:03回答 3 已采纳 参考下面的文章 https://blog.csdn.net/qq_34845394/article/details/86352170
- 2020-01-15 10:33微软技术分享的博客 Django中的Session是一种在Web应用程序中跟踪用户状态的机制。它允许您在多个HTTP请求之间存储和检索用户特定的信息。Session通常用于跟踪用户的登录状态、存储用户首选项、购物车信息等。
- 2022-05-10 09:31回答 4 已采纳 ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) RequestContextHolder.
- 2020-12-08 10:41回答 4 已采纳 把sessionID保存到redis或其他轻量数据库
- 2018-08-06 03:12回答 1 已采纳 1、session的目的是为了在服务器端维护用户的信息,为了避免大量用户接入,而每个用户访问时长都很短,这才给session添加超时的约束。基于这个前提,session一般设计的时候可以不需要每次操作
- 2021-04-29 08:34Stella Ding的博客 本文讲述如何在thinkphp5中完成登录并保存session、然后根据不同的用户权限跳转相应页面功能的实现。我也在学习thinkphp源码的路上,记录一下并与大家分享。完成该步骤主要有以下三个步骤完成。一、密码校验这里view...
- 2022-01-20 17:11回答 3 已采纳 原因:前端axios访问没有携带shiro的jsession的cookie 导致shiro每次都会进行认证登录解决:开启axios携带cookie和后端开启跨域允许携带cookie就不会一直进行shi
- 2021-04-05 20:31阿昌喜欢吃黄桃的博客 1、RBAC权限管理模型 一、RBAC权限模型简介 RBAC权限模型(Role-Based Access ...通过角色的权限推导用户的权限 二、RBAC的演化进程 2.1.用户与权限直接关联 想到权限控制,人们最先想到的一定是用户与权限直接关
- 2020-04-05 09:09程序员cxuan的博客 Cookie 和 Session HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。 ...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 c程序不知道为什么得不到结果
- ¥40 复杂的限制性的商函数处理
- ¥15 程序不包含适用于入口点的静态Main方法
- ¥15 素材场景中光线烘焙后灯光失效
- ¥15 请教一下各位,为什么我这个没有实现模拟点击
- ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
- ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
- ¥20 有关区间dp的问题求解
- ¥15 多电路系统共用电源的串扰问题
- ¥15 slam rangenet++配置