Security 黑客用户身份ExtJS

我正在使用ExtJs（MVC）构建一个web应用程序

我最担心的是如何识别哪个用户登录了我的系统

我可以用很多方法做到这一点，但是安全性呢？ 此信息可以存储在

-饼干
-本地存储
-会话存储

我如何确保某人不会使用开发人员工具来更改此类信息， 因为所有东西都在客户端，而我没有使用服务器会话？以上任何一种都安全吗

有没有办法使用服务器会话解决此问题

加密身份对客户端是否足够安全？在这种情况下，如果有人 删除cookies等

---

在处理用户角色时，这类问题变得更加复杂。如果没有太多的客户端信息，我找不到任何合理的帖子来处理这个问题。

在身份验证之后，使用服务器端会话来存储用户信息（名称、角色等等）。用户无法更改此信息，因为客户端计算机上只有会话ID

为了安全起见，您应该检查服务器端客户端发出的每个请求，以获得所需的权限级别。永远不要相信来自客户机的数据

---

因此，您建议的任何内容都不安全，您将需要服务器会话。

没错。登录后，服务器可以使用会话保留用户身份。我最担心的是Javascript（extjs）如何知道这一点。所以我猜在请求之后，在响应中您可以获得用户信息。因此，您可以使用

if-else

语句根据响应数据处理javascript中的角色是的，您可以编写一个Web服务来验证用户，并在响应中包含所有用户信息，或者将用户对象写入html站点，以便访问每个站点上的信息。