security - 这对客户端代码安全吗？

Question

我正在编写一个 GWT 应用程序，用户可以在其中登录并与他们的个人资料进行交互。我知道每个表单条目都需要在服务器上进行验证，但是，一旦用户登录，我不确定潜在的安全问题。

让我解释一下。我的应用程序(相关部分)的工作原理如下:

1 - 用户输入电子邮件/通行证
2 - 此信息被发送回服务器，查询数据库，检查密码(加盐和散列)
3. 如果密码与电子邮件关联的配置文件匹配，则视为成功

现在我不确定将配置文件 ID 传递回客户端是否安全，然后客户端将用于查询数据库以获取与要在配置文件页面上显示的用户相关的信息。

潜在用户是否有可能手动提供此配置文件 ID 并以这种方式加载配置文件？我担心的是，如果有人怀有恶意，如果他们知道配置文件 ID 的格式，就可以在不提供凭据的情况下从我的数据库加载任意数量的信息。

-尼克

Answer 1

您在这里处理的是 session 管理问题。理想情况下，您需要一种方法来跟踪登录用户(使用随机值作为 session key )、了解他们空闲的时间、能够在用户使用站点时扩展 session 以及使 session 过期。

简单地将配置文件 ID 传递给客户端，并依靠它为每个请求发回它是不够的 - 您的担忧是正确的。

您想在数据库中保留一个带有过期时间的 session 列表。每次执行需要用户权限的操作(这应该是几乎所有内容)时，请检查 session 是否仍然有效，如果是，则将其扩展到您想要的时间。如果它已过期，则完全终止 session 并注销用户。

您可以将 session key 存储在 cookie 中(您必须在某些时候信任客户端)，但要确保它们是不确定的并且具有非常大的 key 空间，因此不能强制获取有效 session 。