如果 session 保存在数据库,cookies 中的 session_id 还需要加密吗?

2014-04-02 17:51:17 +08:00
 gaicitadie
取session的流程:
1、取客户端保存在cookies中的session_id
2、解密过的session_id(如果不加密,这步省略)
3、根据session_id到数据库取session数据


为了防止黑客伪造session_id,可以把session_id加密保存在客户端,这样黑客就猜不出来session_id了。
但是,如果用随机生成的一段字符串作为session_id,保存在客户端黑客也猜不到啊,这样也省去了服务器端加密解密的环节
3990 次点击
所在节点    问与答
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/106999

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX