我正在尝试在我的应用中保留哪个用户已连接。我真的不确定我是否正确地这样做了。所以这就是我如何做到这一点:
首先,我使用Slim API检查用户名和密码是否正确以及是否具有访问权限。
如果它返回了用户名和他的权限级别,我会将它们存储在cookie中并在应用程序中使用这两个信息。
问题是,我担心如果我将用户名存储在cookie中,有人可能会尝试更改cookie并添加其他用户名。
一旦用户连接(例如使用用户名获取用户的所有项目),是否只使用用户名来满足我对数据库的请求,或者我应该使用更安全有效的方式,如果有的话?
P.S:我不会问他回到网站后如何让我的网站记住用户。当我的用户以安全的方式访问我的网站时,我问我应该如何记住用户名和其他信息。答案 0 :(得分:0)
你可以在cookie中加密这些信息,所以没有人可以窃取这些信息。每次用户尝试启动您的应用程序时,请检查Cookie中的凭据是否仍然正确(您的数据库中的用户名是否正确?此用户的认证级别是否正确?)。所以你知道这些信息是否已被改变。如果它们不正确,请邀请用户再次登录。
答案 1 :(得分:0)
您应该生成一个长的随机数密码并将其存储在cookie中。这个随机数基本上只是该用户的另一个唯一密码。因此,在服务器端,您只存储此随机数的正确盐渍哈希。可以把它想象成存储在DB中的用户的哈希密钥,并使用此HASH密钥解密长密码密码。