我想做一个与其他用户交互的webapp,但我不希望用户使用登录名和密码注册(如BrowserQuest)。
然后,我想使用存储在本地存储中的随机数变量。但我认为它不安全,因为如果有人分析我的代码,并查看名称存储在哪个变量中,然后写入URL:
javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0);
然后我想到了每个iPhone / iPod / iPad的唯一ID。但是在javascript中,我们无法访问它:Get iphone ID in web app。还有IP,但它不可靠。还有饼干,但在这里,用户也可以使用注射。
在我的网络应用中识别用户的最佳方法是什么?
答案 0 :(得分:2)
一个解决方案是给每个人一个唯一的会话ID(可能是cookie形式),只有他们知道。这会将它们连接到后端的用户ID。
另一种解决方案是将cookie中的用户ID设置为已签名的cookie。这又取决于你的后端,但你可以在这里看到一个python解决方案:http://webpython.codepoint.net/mod_python_publisher_cookies_signed。