¿Por qué las sesiones de guardar en el servidor en lugar de dentro de una galleta?
https://stackoverflow.com/questions/3948975
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
He estado usando Frasco desde hace algún tiempo y estoy disfrutando mucho del marco. Una cosa que no entiendo es que en casi todos los otros lugares que hablan de almacenamiento de la sesión en el servidor y el identificador de sesión en el cliente, que luego identificar la sesión. Sin embargo después de usar frasco, no me siento la necesidad de hacerlo. Ahorro de la sesión como una cookie en el cliente criptográficamente sirve mi propósito y parece bastante segura también. Lo único ser no soy capaz de cifrar las claves de sesión para, por ejemplo:
session['life'] = 'the great one'
aparecería como
life='gfhjfkjdfa some encryption kj'
en la cookie guardada en el cliente. Pero, ¿cómo sería el caso, ya que está siendo encriptada. Estoy seguro de que la gente de aquí sabe las cosas mucho mejor que yo, así lo soliciten a alguien para aclarar por favor :-)
Solución
Incluso si se encripta sus datos, el usuario puede todavía hacer retroceder su cookie a un estado anterior (a menos que inicie la codificación identificadores de una sola vez, etc)
por ejemplo. galletas dice el usuario tiene 100 créditos, el usuario gasta 100 créditos, que reciben una nueva cookie diciendo que tienen 0 créditos. Entonces podrían restaurar su cookie anterior (con 100 créditos).
Dependiendo de cómo cifrar la cookie, el usuario también puede ser capaz de eliminar las claves, inserción de datos falsos, etc también.
Otros consejos
Si se necesita los datos de sesión en el servidor, que tiene sentido para almacenarlo en el servidor. Se mantiene bajo el grueso de datos enviado de ida y vuelta desde el cliente. Además, las galletas tienen un límite en la cantidad de datos que pueden almacenar.
Además de los puntos ya mencionados anteriormente
-
Los usuarios pueden deshabilitar las cookies mediante la configuración del navegador. Una gran cantidad de escáneres antivirus también las cookies de rastreo y la bandera como un riesgo a causa de las cuales, que también puede dar lugar a las cookies no están permitidos en el ordenador del usuario.
-
Las cookies puede ser eliminado por el usuario, incluso en medio de su sesión. (De hecho, yo hice sin querer que el otro día, cuando uno de mis exploraciones de PC enumeran las cookies de seguimiento ... y me acaba de hacer clic "limpio" y se habían ido todos). En caso de que el usuario pasa a eliminar las cookies, se perderá el estado de los usuarios.
Si utiliza cookies para gestionar todo el estado, que son siempre depende del entorno del cliente y su configuración. En cuanto tal, es probable que necesite al menos un mecanismo de repliegue en caso de que las cookies se borran / discapacitados, etc para que su aplicación funcione correctamente.
La aplicación SecureCookie Frasco no cifra los valores . Lo único que se garantiza es que el usuario no puede modificar la cookie sin conocer el secreto utilizado por la aplicación.
