Używam cookie sesji (nie jest to stały), aby zapisać identyfikator użytkownika, aby dowiedzieć się, czy użytkownik jest zalogowany.plik cookie sesji jest wystarczająco bezpieczny, aby przechowywać identyfikator użytkownika?
w zasadzie użytkownik loguje się, sprawdzamy poświadczenia, a następnie ustawiamy plik cookie sesji userID = 37 (tylko dla tego konkretnego użytkownika, inny użytkownik będzie miał 73 lub 69, etc ...)
Session.Add("UserID", 37);
moje pytanie brzmi, czy jest możliwe dla użytkownika zalogowanego w jakiś sposób zmienić tę cookie sesji od 37 do 73 i w ten sposób oszukać serwer w przekonaniu, że faktycznie jest użytkownikiem 73? Jeśli TAK, to co robię źle, jak sobie z tym poradzić? wydaje się szalone, aby umieścić identyfikator użytkownika sesji i hash hasła i sprawdzić je KAŻDYM CZASEM?
używamy tej wartości identyfikatora użytkownika również w zapytaniach później, aby je ograniczyć.
Przepraszam, jeśli to nie jest dokładne pytanie kodu, ale jest bardzo istotne dla mojego kodu.
oh. Widzę. masz rację. zupełnie o tym zapomniałem. Dużo za szybką odpowiedź. Muszę czekać 12 minut, aby zaakceptować, ale ja. – b0x0rz
Jeśli wartość jest przechowywana na serwerze, czy sesja jest rzeczywiście usuwana, gdy klient zamyka przeglądarkę, czy jest to tylko klucz? (Nie wiem, czy użyłem odpowiednich nazwisk) – BjarkeCK
@BjarkeCK, klucz mieszka na kliencie.W pliku cookie. Cookies sesyjne nie są trwałe, więc gdy użytkownik zamknie przeglądarkę, ciasteczko zostanie utracone. Wartość z drugiej strony będzie nadal żyła na serwerze, dopóki nie zostaną zebrane śmieci. –