背景故事: 我们运营着一个拥有数千名用户和少数管理员的网站。其中一些管理员不需要对网站的所有访问权限,因此我想通过授予他们个人权限来限制他们的访问。

我的计划是在用户登录时设置一个具有用户权限的 session ,如果有的话。但是,我担心这可能是不安全的操作。

用户客户端可以操作 Session 吗?在这种情况下,如果普通用户知道权限名称并为自己设置 session ,则他们可以获得对管理功能的访问权限。

我在 Stackoverflow 上找到了一些相关的问题,但他们没有给我足够的关于这个主题的信息。

最佳答案

您已经为管理员和用户提供了登录信息,因此请保存他们拥有的权限类型,并授予他们根据该权限修改数据的权限。只要您的 session 状态是加密的,就很难在客户端进行操作。
如果您担心现有 session 和 cookie 的安全性,这里是确保其安全的链接。
Secure your Session

这是完整的文章如何使您的 session 和 cookie 安全...

关于session - 用户客户端可以操作 session 吗?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/14834738/

10-16 21:56