在App中,我们将UserName的值传递给内部API。
在对Ajax进行API调用之前,我正在调用一个名为GetUserName()的函数,如下所示。此函数基本上将用户名存储在cookie中。我不想总是对服务器进行Ajax调用以获取用户名。
代码:
function GetUserName()
{
//TODO
1. If UserName Cookie exist, return it.
2. If UserName Cookie doesn't exist, then make Ajax call to server to Get
UserName and set the Cookie.
}
如here所述,在客户端存储用户名和密码是不正确的做法。
但是想知道在这种情况下将用户名仅存储在cookie中是不正确的做法吗?还是应该加密UserName?
任何帮助都会很棒。
答案 0 :(得分:0)
用户可以(并且将)编辑cookie并最终使用其他用户的用户名。 如果该GetUserName函数纯粹是装饰性的,请继续,但是如果您将其用于与会话相关的操作,则会遇到麻烦 如果您打算这样做,请参阅OWASP section,了解会话ID和cookie的安全性。