gpt4 book ai didi

c# - session cookie 是否足够安全以存储用户 ID?

转载 作者:太空狗 更新时间:2023-10-29 20:08:11 26 4
gpt4 key购买 nike

我正在使用 session cookie(不是永久性 cookie)来保存用户 ID 以了解用户是否已登录。

基本上,用户登录,我们检查凭据,然后设置 session cookie 用户 ID = 37(对于这个特定用户,另一个用户将有 73 或 69,等等...)

Session.Add("UserID", 37);

我的问题是,登录用户是否有可能以某种方式将此 session cookie 从 37 更改为 73,从而使服务器误以为他实际上是用户 73?如果是,那么我做错了什么,如何处理这种情况?放入 session 用户 ID 和密码哈希并每次检查它们似乎很疯狂?

我们也在稍后的查询中使用这个 userid 值来限制它们。

如果这不是一个确切的代码问题,我很抱歉,但它与我的代码非常相关。

最佳答案

session cookie 仅包含 session ID。它用于识别用户。它仅包含任何内容。此 session 的实际信息存储在服务器上。所以这是安全的。用户永远无法更改已存储在服务器上的值。如果您将其存储在 session 中,则用户无法更改其 ID。

也就是说,在处理用户 ID 时,您可以考虑使用 forms authentication跟踪经过身份验证的用户,而不是使用 Session 重新发明轮子。

关于c# - session cookie 是否足够安全以存储用户 ID?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10317462/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com