Могут ли сеансы управляться пользователем на стороне клиента?
История вопроса: у нас есть веб-сайт с тысячами пользователей и несколькими администраторами. Некоторым из этих администраторов не нужен полный доступ к веб-сайту, поэтому я хочу ограничить их доступ, предоставив им индивидуальные разрешения.
Мой план состоит в том, чтобы установить сеанс при входе пользователя в систему с разрешениями пользователей, если таковые имеются. Однако я обеспокоен тем, что это может быть небезопасным действием.
Может ли сеанс управляться клиентской стороной пользователя? В этом случае обычный пользователь может получить доступ к функциям администратора, если он знает имена разрешений и сам устанавливает сеанс.
Я нашел несколько связанных вопросов по Stackru, но они не дали мне достаточно информации по этому вопросу.
2 ответа
Вы уже предоставляете логин для администраторов и пользователей, поэтому сохраните тип разрешений, которые у них есть, и дайте им права на изменение данных в соответствии с этим. А пока ваше состояние сеанса зашифровано, на стороне клиента очень трудно манипулировать. Если вы беспокоитесь о безопасности вашего существующего сеанса и куки, здесь есть ссылка, чтобы сделать его безопасным. Защитите свою сессию
Это полная статья о том, как сделать вашу сессию и файлы cookie безопасными...
Вы действительно можете хранить серверные переменные, такие как пользовательский агент, IP-адрес и т. Д. (И даже переменные JavaScript), но они полезны только для проверки того, что постоянные данные cookie соответствуют новому соединению клиента. IP-адрес не является хорошей идеей, за исключением случаев, когда вы знаете, что клиент (как и вы) не будет меняться при каждой загрузке страницы (как AOL).
Современные веб-браузеры и сторонние сервисы, такие как LastPass, могут хранить учетные данные для входа в систему, для которых требуется только нажатие клавиши (а иногда и вовсе) для отправки данных в форму входа. Постоянные куки полезны только для тех людей, которые отказываются использовать то, что доступно в противном случае. В конце концов, постоянные несессионные куки больше не нужны.
Безопасных cookie-файлов не существует, если только они не передаются только по SSL. Некоторые могут быть смягчены при использовании постоянных несессионных файлов cookie (например, помните меня), делая именно то, что вы делаете, но не так, как вы думаете, делая это.