我想在用户编辑数据库内容时添加某种类型的安全令牌。我想检查用户是否有编辑的授权,一旦建立,我想让这个令牌跟随用户,因为他们通过编辑页面移动。我的想法是设置一个会话变量,然后不断引用该会话变量。但我的直觉告诉我,这个想法可能有问题。我想我可以继续请求信息形式的数据库在每一页。
可以。虽然你需要小心:
- 使用TLS/SSL使用HTTPS加密会话标识符
- 在会话cookie上设置安全标志,这样它就不会通过普通HTTP泄露。
- 使用HSTS确保用户只能通过HTTPS连接到您的站点。
- 在登录/注销时刷新会话令牌,以防止会话固定。
- 永远不要在URL中传输会话标识符,因为它很容易通过
referer
头,历史记录和代理/服务器日志泄露。
查看OWASP会话管理备忘单以进一步阅读