首頁猿問我在寫一個web程序，有些頁面需要...

我在寫一個web程序，有些頁面需要登錄，有些不需要，登錄之后我向客戶端寫入了一個cookie，這個cookie能存id和用戶名嗎

Java

哈士奇WWW 2019-01-04 08:45:22

是不是會被別人利用？而且我在每一個頁面怎么驗證是否登錄？單靠cookie可以嗎？還是得結(jié)合服務(wù)器進(jìn)一步驗證session是不是也有？真實開發(fā)這都是怎么寫的啊

查看完整描述

4 回答

冉冉說

TA貢獻(xiàn)1877條經(jīng)驗獲得超1個贊

你這個問題其實是兩個問題
1，cookies 和 session 的方式安全嗎？安全，不然也沒有什么其他辦法用戶記錄用戶狀態(tài)啊。所以用戶登錄成功以后在服務(wù)端生成session并在客戶端生成 cookies，讓它們彼此聯(lián)系用戶下次用戶從客戶端請求服務(wù)器端的時候攜帶 cookies 能找到 session。但是你需要使用一個隨機(jī)的或者 UUID等不方便識別的作為cookies存在客戶端，然后自己手動綁定其和session的關(guān)系。當(dāng)然使用 HTTPS 以后會更安全。
2，有的接口需要有的接口，可以使用攔截器通過 API 的 mapping 控制精細(xì)的權(quán)限校驗。

反對回復(fù) 2019-02-18

慕俠2389804

TA貢獻(xiàn)1719條經(jīng)驗獲得超6個贊

Cookie存身份認(rèn)證的信息，比方說角色，服務(wù)器可以生成cookie，通過key驗證是否為自己生產(chǎn)的cookie，沒有cookie或者不是服務(wù)器生成的cookie就是未登錄，遇到權(quán)限頁面可以通過解析cookie中的信息（即role）來判斷是否允許放行，沒有必要存取重要的用戶信息，建議研究一下jwt和無狀態(tài)授權(quán)

反對回復(fù) 2019-02-18