Security 黑客用户身份ExtJS
我正在使用ExtJs(MVC)构建一个web应用程序 我最担心的是如何识别哪个用户登录了我的系统 我可以用很多方法做到这一点,但是安全性呢? 此信息可以存储在Security 黑客用户身份ExtJS,security,extjs,extjs4,Security,Extjs,Extjs4,我正在使用ExtJs(MVC)构建一个web应用程序 我最担心的是如何识别哪个用户登录了我的系统 我可以用很多方法做到这一点,但是安全性呢? 此信息可以存储在 -饼干 -本地存储 -会话存储 我如何确保某人不会使用开发人员工具来更改此类信息, 因为所有东西都在客户端,而我没有使用服务器会话?以上任何一种都安全吗 有没有办法使用服务器会话解决此问题 加密身份对客户端是否足够安全?在这种情况下,如果有人 删除cookies等 在处理用户角色时,这类问题变得更加复杂。如果没有太多的客户端信息,我找不到
-饼干
-本地存储
-会话存储
我如何确保某人不会使用开发人员工具来更改此类信息, 因为所有东西都在客户端,而我没有使用服务器会话?以上任何一种都安全吗 有没有办法使用服务器会话解决此问题 加密身份对客户端是否足够安全?在这种情况下,如果有人 删除cookies等
在处理用户角色时,这类问题变得更加复杂。如果没有太多的客户端信息,我找不到任何合理的帖子来处理这个问题。在身份验证之后,使用服务器端会话来存储用户信息(名称、角色等等)。用户无法更改此信息,因为客户端计算机上只有会话ID 为了安全起见,您应该检查服务器端客户端发出的每个请求,以获得所需的权限级别。永远不要相信来自客户机的数据
因此,您建议的任何内容都不安全,您将需要服务器会话。没错。登录后,服务器可以使用会话保留用户身份。我最担心的是Javascript(extjs)如何知道这一点。所以我猜在请求之后,在响应中您可以获得用户信息。因此,您可以使用
if-else
语句根据响应数据处理javascript中的角色是的,您可以编写一个Web服务来验证用户,并在响应中包含所有用户信息,或者将用户对象写入html站点,以便访问每个站点上的信息。