我注意到很多会话/ cookie设置只存储令牌值。我还存储用户名,以便它检查数据库中的用户名和会话值,这只是一个小的附加安全性。但是我想知道这是否存在安全风险,因为如果黑客劫持了他们的令牌代码,他们就会知道哪个用户属于哪个?我的令牌每两分钟到期一次。感谢。
答案 0 :(得分:3)
用户名通常可以安全存储为cookie,只要它们不是访问敏感区域时唯一检查的数据。
将cookie中的所有数据存储起来的更好做法是,对于大多数应用来说,这将更加安全和安全。
答案 1 :(得分:1)
在cookie中保留用户名不是问题,但问题是如何使用此用户名cookie。如果它在身份验证中使用,则会产生问题。你必须确保,新手用户也可以更改cookie。