是否使用会话和cookie中的密钥保护会话?
会话和Cookie中的密钥用于保护会话的安全性和完整性。通过使用密钥,可以对会话数据进行加密和解密,防止未经授权的访问和篡改。
会话是指在用户与应用程序之间建立的一种交互状态。为了保护会话数据的安全,可以使用会话密钥对数据进行加密。会话密钥是一个对称密钥,意味着加密和解密使用相同的密钥。这样可以确保只有拥有正确密钥的用户才能解密会话数据。
Cookie是一种在用户浏览器中存储数据的机制。为了保护Cookie中的数据,可以使用Cookie密钥对其进行加密。加密后的Cookie数据只能由服务器解密和读取,防止恶意用户篡改Cookie内容。
使用会话和Cookie中的密钥保护会话具有以下优势:
- 安全性:通过加密会话数据,可以防止未经授权的访问和窃取敏感信息。
- 完整性:使用密钥可以防止会话数据被篡改,确保数据的完整性。
- 隐私保护:加密会话数据和Cookie可以保护用户的隐私,防止敏感信息泄露。
应用场景包括但不限于:
- 用户登录:通过使用会话和Cookie中的密钥,可以确保用户登录信息的安全性,防止密码泄露和会话劫持。
- 在线支付:保护支付会话的安全性和完整性,防止支付信息被篡改或窃取。
- 敏感数据传输:对于传输敏感数据的场景,如个人身份信息、医疗记录等,使用会话和Cookie中的密钥进行加密可以确保数据的安全性。
腾讯云提供了一系列与会话和Cookie安全相关的产品和服务,包括:
- 腾讯云SSL证书:提供数字证书,用于加密网站和应用程序的通信,保护会话数据的安全性。详情请参考:腾讯云SSL证书
- 腾讯云密钥管理系统(KMS):用于管理和保护密钥,包括会话密钥和Cookie密钥。详情请参考:腾讯云密钥管理系统
- 腾讯云Web应用防火墙(WAF):提供Web应用程序的安全防护,包括会话和Cookie的保护。详情请参考:腾讯云Web应用防火墙
通过使用这些腾讯云产品和服务,可以有效地保护会话和Cookie中的密钥,提高应用程序的安全性和可靠性。
相关·内容
因为HTTP(s)是无状态的,所以它不记得用于身份验证和为用户分配权限的用户名/密码组合。我读到过,为了克服这个限制,很多网站都会通过cookie (如果我是正确的话) sessionId cookie来让用户登录。
有两个问题我不确定:
这个密钥是用来加密数据的,还是会是一个不同的会话密钥cookie,或者这些都不是?
如果有人复制/粘贴我的会话id cookie,可以像我自己一样无缝地登录吗?
浏览 0提问于2022-03-12得票数 0
回答已采纳
我在redis核心中实现了我自己的ITicketStore实现,它处理在.NET数据库中存储会话cookie。我的密钥是一个简单的guid: public async Task<string> StoreAsync(AuthenticationTicket ticket)
{
var log = new StringWriter();
var guid = Guid.NewGuid();
var key = "MyCustomCache"+ guid.ToString();
await
浏览 33提问于2020-03-25得票数 1
回答已采纳
我有一个应用程序(核心2.2.0),它使用cookie进行身份验证,下面是来自Startup.cs文件的代码
services.AddAuthentication(cookieConfig.AuthScheme)
.AddCookie(cookieConfig.AuthScheme, options => {
options.LoginPath = new PathString(cookieConfig.LoginPath);
options.AccessDeniedPath = new PathString(cookieConfig.Access
浏览 3提问于2020-07-15得票数 0
1回答
我目前对我的网站上的每个页面都有以下代码。请任何人确认这是否是启动和继续PHP会话的好做法?
//************************************************************
//Session Settings
//************************************************************
$session_name = 'PHPSESSID';
$session_exp_time = 10000;
$previous_name = session_name($session_n
浏览 0提问于2012-05-12得票数 8
回答已采纳
3回答
维护请求之间的敏感密钥
、、、
编辑:重新加工的问题。以前的版本要求太差了。
在我的网站上,用户会写一些必须保密的敏感信息。整个用户区域都通过SSL,因此用户和服务器之间的通信应该相当安全。现在我想以一种安全的方式存储消息,这样访问数据库的攻击者就不能读取消息。
在Security.SE的帮助下,我目前正在实现这个加密方案实现审查-独立密钥、管理方和用户端。
如您所见,userkey (uk)非常敏感,它是在登录时使用PBKDF2生成的(带有密码和用户盐)。我不能要求用户每次想要读取信息时输入密码,所以我想在请求之间设置英国的密码。防止攻击者获得英国的最佳方法是什么?
我想我可以在登录时生成uk (当用户输入密码时),加密并
浏览 0提问于2013-01-21得票数 0
1回答
框架中的会话安全
、、
我刚读到,剧本在客户端保存会话数据:
重要的是要理解会话和Flash数据不是存储在服务器中,而是使用Cookies添加到每个后续HTTP请求中。这意味着数据大小非常有限(最多可达4KB),并且只能存储字符串值。
我对网络没有经验,所以我有几个问题:
( 1)是否安全?
2)在这类会话中存储敏感数据的合理性如何?
客户端可以更改请求数据(不使用会话id更改会话数据)。是否有任何已建立的机制来防止这种情况的影响?当客户端更改会话数据以及请求服务器试图读取这些数据时,会发生什么情况?
cookie是用秘密密钥签名的,因此客户端不能修改cookie数据(否则它将失效)。
但这意味着什么
浏览 0提问于2013-01-10得票数 1
回答已采纳
3回答
我正在构建一个安全性很重要的系统,我希望将会话详细信息存储在会话表中的服务器上。但是,我担心的是,如果被攻击的人掌握了数据库,他们将可以访问所有登录用户的所有会话详细信息。
如何绕过这个问题--是否只是将会话细节加密,并将一个秘密作为cookie发送给用户,这意味着在每个请求上都有解密。这显然会减慢用户的速度。
我不能将会话细节存储在用户机器上的cookie中,因为这个cookie可能会变得非常大,并且可能超过4kb (最大请求头大小)。
浏览 0提问于2017-01-09得票数 3
回答已采纳
1回答
我开发了一个客户端应用程序,它通过REST与服务器进行对话。应用程序的工作方式是将初始登录时的用户名/pwd对发送到服务器,然后以新生成的GUID的形式使用auth令牌进行响应。
客户端使用GUID为会话的其余部分与服务器进行对话(直到本地存储被清除为止)。登录页面需要保持登录的能力。为此,我将GUID令牌存储在本地存储中。如果钥匙在那里,那么它会自动登录到应用程序中。
所有通信都是在SSL上执行的,所以我不担心数据或MITM的安全性,但我关心存储在本地存储中的令牌的安全性。
一些问题:
我应该进一步加密GUID吗?这能给我点什么吗?
在本地存储GUID令牌会带来很大的安全风险吗?值得保护吗?
浏览 0提问于2013-12-17得票数 8
1回答
每个请求的API键
、、、
我一直在为公司的网站制作一个标准化的JSON;我希望有一种方法来验证用户使用API的身份,同时尽可能地保持API的无状态性。我的想法如下:
用户登录后,web服务将对用户进行身份验证,并生成一个随机字符串,该字符串将传递给客户端,以及一个过期日期。它存储在cookie中,以及数据库中的一个条目中。
对于每个API请求,web服务根据数据库条目检查cookie字符串。如果进行身份验证,web服务将生成一个新字符串,将旧字符串替换为数据库和cookie中的新字符串,然后将请求的信息发回。
如果客户端发送请求,而cookie与数据库条目不匹配,则数据库中的字符串设置为NULL,客户端必须
浏览 4提问于2014-04-01得票数 1
回答已采纳
所以我用php会话ID cookie做了一些测试。我知道数据存储在服务器上,但是会存储一个具有唯一ID的cookie,以便服务器在浏览时能够识别客户端。所以,我得到了cookie的ID并在另一台计算机上打开了firefox,我将那个phpsession cookie编辑到了我登录的计算机上的id .不出所料,我登录了。
我所能做的就是检查http用户代理和IP的前三组数字(xxx.123)没有改变(以避免动态IP问题)。不过,我想知道使用永久HTTPS连接是否会使php会话ID的内容不可接受,就像有人进入我的计算机,抓取cookie内容,并自己使用它。
另外,我知道通过默默无闻的安全性不是很好
浏览 0提问于2014-05-05得票数 0
回答已采纳
我必须在涉及前端(React)和后端(springboot)的场景中对用户进行身份验证。
在完成它之后,我意识到Springboot响应包括一个set-cookie头,但实际上Springboot返回的cookie会话从未在用户浏览器中设置过,所以我假设cookie是在前端应用程序中设置的,这意味着前端应用基本上是通过身份验证的,而不是用户,因为前端最终是发送用户/密码的。
人们通常是如何处理这种情况的?,我应该在用户浏览器中也有一个cookie会话(到目前为止我的想法是这样),前端应该在浏览器中存储一些不同的内容来跟踪登录的用户吗?
浏览 5提问于2021-03-12得票数 0
回答已采纳
我正在寻找一种方法来保护我的包含重要信息的php会话。对于打电话的人来说,使用IP验证并不是一个好主意。这就是为什么我认为在会话和经典cookie中存储随机生成的密钥可能是明智的。然后每隔x分钟检查一次这两个密钥是否匹配。这是个好主意吗?在我的搜索中,我没有找到任何关于这个的东西。谢谢你的反馈,Jesver
浏览 18提问于2021-06-26得票数 2
回答已采纳
我正在学习,我正在尝试实现一个登录。
正如我所理解的,最好将JWT存储在Cookies中,使用"secure: true“和"httpOnly: true”作为:
const jwtBearerToken = jwt.sign(...);
res.cookie("SESSIONID", jwtBearerToken, {httpOnly:true, secure:true});
这样,任何JavaScrip都不能访问Cookie (因为"httpOnly: true"),
我被保护着不受XSS攻击,
但我的SPA也不能这样访问JWT,下面是我的
浏览 1提问于2018-04-09得票数 2
回答已采纳
我正在Node.js和PostgreSQL中实现自定义身份验证和会话管理系统。我的目标是实现在2周后到期的会话(如果没有刷新/更新)。
OWASP和其他资源建议将未散列的会话in存储在数据库和cookie中。但是,如果这些会话if是从数据库泄漏出来的,则可以使用它们在过期之前成功地进行身份验证。
我不知道散列会话是否会增加一些针对这种情况的安全性。我正在考虑的实现是这样工作的:
用户身份验证。
使用id (UUID v4)和token_hash (加密安全随机字符串的SHA256散列)将会话保存到数据库中。
id和原始未散列token都保存到响应会话cookie(s)中。
然后,在随后的请求中
浏览 0提问于2021-09-26得票数 3
我正在考虑切换到将会话数据存储在加密的cookie中,而不是在服务器上的某个地方。虽然这将导致为每个请求使用更多的带宽-它将节省额外的数据库服务器负载和存储空间。
无论如何,我计划使用 256加密cookie内容。
function encrypt($text, $key)
{
return mcrypt_encrypt(MCRYPT_RIJNDAEL_256,$key,$text,MCRYPT_MODE_ECB,mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256,MCRYPT_MODE_ECB),MCRYPT_RAND))
浏览 3提问于2010-10-30得票数 7
回答已采纳
3回答
我有一个Cakephp网站,它需要某些操作来要求2+连接,(即登录,密码重置等),但我不要求整个网站是安全的。在实现这一点时,我发现在SSL和非SSL页面之间移动时没有保存会话。我在堆栈上发现了这个问题,它为我解决了这个问题,但我想知道代价是什么。
上面问题中的答案需要注释掉lib/Cake/Model/Datasource/中的一行,如下所示:
if (!isset($sessionConfig['ini']['session.cookie_secure']) && env('HTTPS')){
// $sessionCo
浏览 0提问于2012-10-20得票数 1
回答已采纳
2回答
在Hartl的教程中,我们将会话设置为存储为user_id散列版本的cookie。然后,我们将未散列的cookie与user.id进行比较。
def log_in(user)
session[:user_id] = user.id
end
这安全吗?我不能用散列随机user_id数来自己生成一个cookie,然后我可以用它作为另一个随机用户登录吗?
浏览 3提问于2016-04-22得票数 1
回答已采纳
1回答
我用的是酒瓶内置的机械学。
以下是我对会议机械原理(用烧瓶)的理解:
所有会话数据都存储在一个签名的cookie中(使用app.secret_key)。
当修改会话数据时,cookie将被更改。
会话的数据不受写入客户端(由于签名)的保护,但不受读取的影响
想象一下以下场景:
在我的会话中,我放置了一个变量try_number=3
每次用户执行某个操作时,都会减少此数目。
如果这个数字等于0,则禁止操作。
用户首次连接到应用程序,应用程序发送一个Set-Cookie: sesssion=Flask.sign("try_number=3")
浏览 4提问于2015-05-02得票数 1
回答已采纳
5回答
我正在开发一个web应用程序,其中UserId和RoleId扮演着至关重要的角色……将这些值存储在session.Someother中是否安全可以是隐藏字段、cookie..哪一个更安全?
对此有何建议...
浏览 0提问于2009-12-22得票数 5
回答已采纳
1回答
在过去的几天里,我一直在读一些关于会话ID的内容,以及为防止人们拦截它们并使用它们劫持会话而采取的方法。
据我所读,当将cookie中的会话ID发送到浏览器时,应该使用SSL/TSL来防止有人嗅探会话ID,并且这个cookie应该设置为HttpOnly,这样JavaScript就不能读取它。
我个人认为,检查从其中接收会话ID的客户端IP地址是否不变是一种很好的附加措施,但我在网上读到了一些相互矛盾的论点,人们说代理和其他事情可能会影响到这一点。
我的问题是:
SSL/TSL和HttpOnly是否足以确保会话不会被劫持?
是否有一种使用客户端IP地址作为额外保护层的方法?
是否还可以采取任何措
浏览 0提问于2016-06-15得票数 2
1回答
我正在尝试为使用幸福堆栈框架编写的web应用程序实现简单的基于密码的身份验证。我的用户提供了一个ID和密码,我使用bcrypt进行散列并根据数据库进行检查。如果哈希密码位于该ID的数据库中,则对用户进行身份验证。
一旦我对好用户进行了身份验证,我想发出一个会话cookie,它标志着该用户在会话期间已经登录。(我不是在尝试实现“持久”、“记住我”之类的cookie;我只是想知道用户是否已登录到会话中。)
会话cookie的存在是否足以对用户进行身份验证?如果没有,还需要哪些其他信息?我可以将cookie的(散列)值存储在我的数据库中,但在这一点上,我看不出我所做的工作与持久性登录cookie有多
浏览 2提问于2012-08-21得票数 0
我有一个身份验证表单,为了“记住我”的功能,我想使用cookie来存储用户名和密码。
这是我的问题--如果我想保存一个月的cookie,在cookie中存储密码会是个好主意吗?有人能看到cookie值并使用cookie管理器等工具对其进行编辑吗?将密码存储在cookie中有多明智?
请建议一下。提前谢谢。
浏览 5提问于2014-05-02得票数 2
回答已采纳
有许多金融服务可以通过询问用户的用户名和密码并代表他们登录来验证用户的银行帐户。一些例子是Coinbase和TransferWise。
我已经想出了一种方法,让用户可以在不向第三方提供用户名和密码的情况下验证他们的银行账户细节。我想知道以下协议是否存在安全漏洞:
第三方服务启动记录所有通信量的代理服务器。
用户通过代理建立TLS连接,并验证银行的SSL证书。
用户使用他们的用户名和密码登录,并保存他们的会话cookie。
用户通过代理启动一个新的TLS连接,该代理使用不同的主秘密。
用户使用当前会话cookie通过代理获取帐户详细信息。
用户签出并使会话cookie无效。
用户将最终的TLS连
浏览 0提问于2017-12-08得票数 2
是否有办法使protect_from_forgery在配置为不接受cookie的浏览器中工作?
当启用cookie时,我的应用程序可以正常工作,但是我想让它在没有cookie和csrf保护的情况下工作。
Parameters: {"utf8"=>"✓", "authenticity_token"=>"nF9Qx0ZI16yHHG+yaxd+vojE0odr+24Es0yrR/CIjA9CbZ4dnNlMZh7YpzriyKcuw1BabdncX8bSfPjfMnmfDQ==", "password"=&
浏览 0提问于2018-04-05得票数 1
回答已采纳
7回答
我希望将用户的身份验证信息保存在浏览器cookie中,以便永久登录。正如他们所说,在cookie中存储任何秘密信息(如密码)从来都不安全,但为了有一个诸如“记住密码”这样的选项,我认为没有其他选择。
因此,如果用户想要记住他的登录信息,并且如果我存储用户名(电子邮件)+不是密码,而是一些其他唯一的信息,例如在cookie中的散列数据库ID。然后我应该检查存储在Cookie中的散列ID是否与存储在cookie中的用户电子邮件匹配。因为我认为任何人都可以很容易地看到存储在浏览器中的Cookie(例如,在火狐中,Options -> Cookie )。
那么,这会不会像某人从保存了cookie
浏览 8提问于2011-06-14得票数 12
回答已采纳
我在Rails 3.2.22.5上运行我的一个应用程序。在Chrome v80更新后,开始体验会话在默认过期之前的过期方式。所以在做了监视之后,我注意到分配给session_store的cookie id是随机变化的。
我注意到会话的这些值:
HttpOnly: true
Secure: null
SameSite: null
这些会与我的问题有关吗?
浏览 0提问于2020-03-20得票数 1
1回答
在一个页面应用程序中:
我想使用httpOnly/Secure cookie来验证been令牌是否从本地存储中被窃取。
换句话说,在被认为有效之前,必须出示cookie和承载令牌并对其进行交叉检查。
例如:
用户使用用户名/密码成功登录。
创建了一个Jwt标记,并包含一个会话Id为12345。
另外,cookie被格式化为jwt并签名,并包含会话Id为12345的声明。
现在,当使用令牌和cookie发出ajax请求时,将比较会话id。如果它们匹配,则满足请求。
这安全吗?还是应该在cookie或令牌上加密会话Id?
浏览 4提问于2018-05-27得票数 1
回答已采纳
2回答
我经常读到MAC提供了有效载荷“过境”真实性的证据。
不过,我想知道是否有任何特殊的“在途”定义会阻止它在很长一段时间内是可靠的-例如,证明数据不是简单地被存储介质破坏的。
如果意思是“攻击者只有很短的时间来成功地修改有效载荷和MAC”,那么这意味着存储有效载荷和MAC长期数据以在稍后日期提供真实性是不安全的。
我猜的意思是“端到端”的真实性,说爱丽丝和鲍勃之间的时间无关。
这可能是一个愚蠢的问题,简单地归结为may的安全,然后这将取决于具体的HMAC,GMAC或任何时候使用。
浏览 0提问于2016-12-10得票数 6
回答已采纳
我想知道是否有人可以解释为什么使用AB测试的网站在cookie中存储了非常长的哈希值。
在单页面应用程序的上下文中,假设我只想显示不同的背景色。当用户登录时,我可以在cookie中存储一个"AB标识符“,例如0或1,然后在我的javascript代码中,检查该cookie的值,并呈现正确的颜色。
但是为什么其他人不使用简单的标识符,而是使用长哈希表呢?我是说,这不可能是安全问题,对吧?因为,无论哈希值有多长,客户端(javascript)仍然需要能够读取它,所以解码脚本仍然对每个人都是可用的,它可能与多个if/else语句一样简单。
谢谢。
浏览 0提问于2015-05-25得票数 0
最初在Startup.cs中,我们完全忽略了AddDataProtection()调用。当我们尝试部署该应用程序时,我们看到了以下内容:
System.Security.Cryptography.CryptographicException: The key {...} was not found in the key ring.
at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[] protectedData, Boolean allowOp
浏览 0提问于2019-04-26得票数 4
我正在编写一个多租户应用程序,它代表每个客户与几个不同的API交互。显然,我们需要在数据库中存储这些不同API的私钥,以便能够连接到它们。不用说,我需要加密这些。
我想对系统上的每个租户使用一个单独的加密密钥(我使用的是openssl_encrypt和AES-256-CBC)。为了实现这一点,我有一个单独的“密码”数据库。tenant_keys表包含以下列:
tenant_hash,它具有存储在租户设置表中的随机值,用于查找
一个tenant_key,它是租户的唯一加密密钥。
一个key_timestamp,我将来会用它定期更新租户
明显的缺点是,如果数据库被窃取,攻击者就会拥有所有的密钥。为
浏览 0提问于2018-09-10得票数 2
据我所知,当用户在Security中登录使会话无效并创建一个新会话时。
因此,如果我来自带有明确sessionID cookie的http,那么Security应该设置一个新的sessionID 'secure‘cookie,该cookie将由浏览器只在随后的https请求中发送回来。
我所缺少的是,当“登录”用户从https切换到http时,必须有一个sessionID cookie作为非安全cookie存储在某处,以跟踪会话。
我不明白Spring是如何做到这一点的。
当用户登录后,如果他浏览到http,那么清除的sessionID cookie与安全SessionID相同,它是否
浏览 1提问于2010-11-25得票数 4
1回答
我使用会话cookie在Wordpress中显示从一个页面到另一个页面的类别id,使用以下代码:
<?php if(is_product_category()) {
session_start();
$cat_obj = $wp_query->get_queried_object();
$thiscat_id = $cat_obj->term_id;
$_SESSION['category'] = $thiscat_id;
} ?>
<?php if(is_product()) {
session_star
浏览 3提问于2018-12-12得票数 0
回答已采纳
1回答
好的,我看到了这个例子,就像cookie是加密的。
var app = express()
app.set('trust proxy', 1) // trust first proxy
app.use(session({
secret: 'keyboard cat',
resave: false,
saveUninitialized: true,
cookie: { secure: true }
}))
这是我的问题,假设A和B坐在一起,B复制A的请求,其中包括会话信息(加密cookie),并将其放入请求中。是的B不能解密饼干但那又怎样?从服务器
浏览 4提问于2021-06-20得票数 0
回答已采纳
我使用下面的类来处理cookies,并使用它们在我的ASP.NET MVC应用程序中存储/读取值(例如购物车项目等)。
1.我想知道值是否存储在没有任何安全性的浏览器中,任何人都可以查看其内容(使用下面的实现)?我检查了值是否存储为十六进制值,但我怀疑此实现中是否存在任何特定的加密/安全性。
2.如何修改该类以将cookie值存储为加密信息?
using System;
using System.Web;
namespace My.Application.Sample
{
public class CookieStore
{
public static v
浏览 5提问于2021-08-01得票数 0
回答已采纳
Django需要它,所以ajax发布到服务器需要CSRF保护。但是CSRF需要启用cookie,否则django将请求404。假设没有人启用cookie,我应该如何处理我的ajax帖子?我不想使用@exempt_csrf装饰器来解决安全问题。
(不确定我正在做的事情是否需要csrf保护,ajax请求只是为了像这个网站上的帖子一样支持和反对)
谢谢你们!
浏览 0提问于2012-09-11得票数 1
回答已采纳
Apache能够使用TLS会话ID而不是querystring中的会话cookie或JSESSIONID。我的网站到处都是HTTPS。
这似乎很有用,因为我不必担心会话cookie被盗,并且可以为不执行cookie的用户代理使用会话。
我对这里的会议劫持/固定有免疫力吗?
还有其他值得关注的问题吗?
浏览 0提问于2015-02-20得票数 4
1回答
我对代码触发器框架中的会话机制有一些疑问:
是不是和cookie一模一样?因为我看到的是所有会话数据都作为cookie发送回浏览器。因此,当发出另一个请求时,所有数据都将随cookie会话一起发回。会话数据被发送回浏览器。即使它是加密的,我仍然可以识别所有的会话项,所以将该项的加密值更改为加密值不是很容易,就像将名为loged_in的项从false更改为true 一样当在数据库中保存会话数据时,会话数据会自动删除吗?为什么代码触发器文档中写着“会话ID永远不能更新,它们只能在创建新会话时生成”。那么,在cookie会话中重新生成会话id时,我们如何将其与存储在数据库中的会话id进行比较呢?
浏览 1提问于2014-06-02得票数 0
我使用jquery-cookie模块从jquery设置/获取cookie。
当我设置一个cookie时,它是一个会话cookie,我可以在Chrome的资源标签中看到它。
另一方面,在Django中使用reqeust.session‘’mycookie‘= 'value’设置cookie也是一个会话cookie,但它在Chrome的资源标签中不可见。
有没有办法使用jquery来访问或设置django会话cookie?
浏览 1提问于2012-03-11得票数 1
回答已采纳
我正在编写一些Django网站,它与数据库一起工作。
我想知道如何在服务器端存储重要数据?现在,我将它们存储在会话中,但这是否安全?
是会话饼干吗?
更新
现在我在Django网站上看到了这句话:
它将数据存储在服务器端,并抽象出cookie的发送和接收。Cookie包含会话ID,而不是数据本身。
这就是我所需要的:)
浏览 1提问于2014-03-09得票数 0
我有几种不同类型的用户(InternalUser、Clinician和Patient)可以登录到我的网站,因此,对于每种类型的用户,我都创建了一个从ApplicationUser继承的用户类。
如果登录用户来到网站的主页(),那么MVC控制器代码需要知道它是哪种类型的用户,这样它就可以返回一个重定向到正确的“主”页面(,等)。
在我看来,使用一种简单、低成本的方法来区分控制器中的用户类型似乎是合理的,而不必从数据库中加载当前用户。注册用户时,添加一个表示用户“类型”的声明:
await _userManager.AddClaimAsync("ihi:user_type", &#
浏览 0提问于2018-11-03得票数 5
回答已采纳
1回答
使用此登录脚本可能会对任何漏洞进行少量输入。
步骤1-提交带有用户名和密码的输入表单。
步骤2-在验证时,我将向名为session的DB中插入一个uniqid。
步骤3-为了验证用户是否登录,请检查DB。
$user_decode_cookie = base64_decode($_COOKIE['cookiewithinfo']);
$cookie_implode = (explode('_', mysqli_real_escape_string($con, $user_decode_cookie)));
$sql = mysql_query("SE
浏览 3提问于2016-05-11得票数 0
回答已采纳
1回答
我曾经读过,当用户联系像银行这样的实体时,它会创建一个预主密钥,然后为随后的通信选择一个主密钥。
如果每个会话的主密钥和主密钥是随机的和不同的,那么PFS的缺乏会造成安全缺陷吗?私钥的知识如何帮助黑客解密旧的通信?预主键和主键是否存储在服务器上?
我也读过,就像PFS一样,它的工作方式是使用一个短暂/时变的键。
那么,任何密钥交换/加密算法,确保密钥在每个会话后被丢弃,是否可以被视为一个PFS系统?
我发现很难理解这些差异。
浏览 0提问于2018-12-31得票数 1
回答已采纳
有曲奇的几种用途,我想提供某种保证,保证cookie被用于特定的、有限的目的和范围。在我的例子中,我想证明cookie只用于身份验证。
问题
是否有任何先前的研究,描述如何使用cookie或cookie替代方案来提供这样的保证?
示例
在会话cookie的示例中,我设想将应用正常的会话参数。
范围将仅限于一个或非常有限的一组URL,
仅设置为HTTP
一些新增的安全要求如下所示:
客户端从加密的随机源生成cookie名称和内容。
客户端在发送凭据的同时将此首选cookie发送到服务器。
如果cookie与现有会话没有冲突,服务器将接受它,并将其用作会话其余部分的承载令牌。
对于关心cookie
浏览 0提问于2015-08-07得票数 1
是否有任何工具可以重播组合访问日志样式(或任何其他格式)文件,并保留cookie?
我们需要用实际的用户访问来加载我们的应用程序,但是我们确实需要那些cookie。我评估了JMeter (无法工作,您可以启用cookie jar,但不能从日志中读取cookie )、httperf (也模拟cookie jar)、围城(相同)和我被困住了。
外面还有很多其他的工具,但是我找不到任何可以发送饼干的工具。
浏览 0提问于2011-08-15得票数 1
2回答
文档中有一个解释,但我还有一些额外的问题。
为什么需要专用的CSRF cookie?
如果Django不使用特定于事务的随机数,为什么不要求在POST请求主体中嵌入会话ID呢?
为什么CSRF随机数要绑定到会话ID?Django会这样做吗?
似乎暗示CSRF现时值需要绑定到会话ID (例如,CSRF现时值=会话ID的键控散列)。为什么会这样呢?Django是否将其CSRF nonce绑定到会话ID?
为什么Django使用独立于会话的随机数而不是特定于事务的随机数?
是否出于性能方面的考虑?直观地说,特定于事务的随机数本质上似乎更安全。
浏览 0提问于2011-05-20得票数 7
回答已采纳
1回答
我有一个网站如www.e1.com。www.e1.com是服务提供商。每当我点击其中的某个服务,我就会被重定向到一个身份提供者,比如www.e2.com。在此之前,在服务提供商(www.e1.com)中,我将检查是否为用户设置了任何cookie。这是第一次没有cookie,因此它将发送空的SessionId值。因此,我向www.e2.com发送SAML请求,同时没有任何id(因为没有设置cookie )。Cookie包含Id)
现在在www.e2.com i.e.In身份提供者中,我将检查www.e1.com是否发送了任何Id值。如果为null,我将创建一个会话Id并将其存储在数据库中(在ww
浏览 3提问于2012-03-22得票数 3
1回答
我想知道这是否是一种技术,所以将敏感数据从web应用程序中保存下来。我知道您不应该将敏感数据存储在本地存储区或cookie中。
当登录一个网站时,浏览器通常会问它是否应该持久化你的用户名和密码。它存放在哪里?有多安全?最重要的问题是,您能使用javascript / browser内置函数访问它吗?
我的场景:我只生成一次rsa密钥对(我知道随机的javascript不是很好),并且需要将我的私钥保存在浏览器中一个安全的位置,所以在下一次会话中我可以访问它并解密一些数据。
提前感谢
浏览 3提问于2013-08-03得票数 0
回答已采纳
我们正在迁移基于MVC的服务器应用程序,并创建一个REST来处理调用。
我一直在阅读AES加密和OAuth2,并决定实现一个由这些概念发展而来的解决方案,如下所示:
客户端发送请求登录提供UserID或电子邮件。这个请求是HMAC使用一个API秘密密钥。
服务器检查用户it /电子邮件是否与现有帐户相匹配,如果它找到了一个帐户,则创建并存储服务器当前,并将其作为对客户端的响应的一部分发送。
客户端立即创建自己的客户端,并从API秘密密钥和非key创建一个新的临时密钥。然后,它发送一个登录请求,并使用这个临时密钥加密密码,以增加熵,并避免以明文发送密码。
服务器使用它为该客户端存
浏览 6提问于2016-07-21得票数 7
回答已采纳
我目前的情况是:我使用以下技术创建了一个用户身份验证系统:
expressjs (使用会话和cookie)
mysql (保留用户名和密码)
mongodb用于持久会话存储
目标是创建一个系统,该系统将用户in存储在cookie中,并基于允许或不允许访问。
第一个问题。如果我正确理解会话是如何工作的,那就是每次用户访问我的网站(登录或未登录)时,她/他都会使用express会话机制创建一个新的会话id,该id将存储在req.sessionID中。
现在的问题是。在登录页面上:
用户输入用户名/密码。
我向mysql服务器发出请求,确认用户名/密码。现在,从我在网上找到的示例中,执行简单用户身份
浏览 2提问于2014-03-05得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
