28,391
社区成员
发帖
与我相关
我的任务
分享[讨论]关于session与cookies
管理员由于掌握着网站重要信息的管理权限,使用session自然比较安全点。但是一般的用户呢?如果用户在一段时间内不活动,session就自动过期了,而很多用户不愿意反复的进行登陆操作。这个时候使用cookies?但是总感觉不够安全,就算对cookies进行了加密处理,一样觉得不够妥当。还有一些特殊用户,介于管理员与普通用户之间,他们同样拥有一定的管理权限,比如论坛的版主等。特殊用户又该用什么样的机制存储登陆信息?
以上问题,希望诸位高手能讨论一下你们是如何解决此类问题的,我等新手在一旁学习学习,涨点经验。谢谢!
以上问题,希望诸位高手能讨论一下你们是如何解决此类问题的,我等新手在一旁学习学习,涨点经验。谢谢!
...全文
请发表友善的回复…
发表回复
销魂的拖拉机 2007-01-23
- 打赏
- 举报
btbtd(點點點
普通操作都用COOKIES, 涉及到删除更改的地方用Session
-------------------------------------------------------------
这是最实在的.
普通操作都用COOKIES, 涉及到删除更改的地方用Session
-------------------------------------------------------------
这是最实在的.
hailun 2007-01-23
- 打赏
- 举报
学习来的
wtogether 2007-01-21
- 打赏
- 举报
大型网站都用Cookie的,这样不占用服务器资源,可以访问一下sohu/sina那些门户,然后在地址栏里输入:javascript:alert(document.cookie),回车就可以看到cookie,从他们的站点cookie可以看到无奇不有,有些Cookie名称让你摸不到北
加密Cookie是最好不过的了,自己设置一个算法,采用密钥+实体这样的加密方式,密钥和密文一起Set-Cookie到客户端,用户再访问时,根据密钥和密文解密获得实体
可以参考一下http://club.alibaba.com.cn/,它的保密做得不错,登陆前,登陆后,取回密码都可以参考参考
加密Cookie是最好不过的了,自己设置一个算法,采用密钥+实体这样的加密方式,密钥和密文一起Set-Cookie到客户端,用户再访问时,根据密钥和密文解密获得实体
可以参考一下http://club.alibaba.com.cn/,它的保密做得不错,登陆前,登陆后,取回密码都可以参考参考
半打啤酒 2007-01-21
- 打赏
- 举报
普通操作都用COOKIES, 涉及到删除更改的地方用Session
===========================================================
感觉这样还行`~!
===========================================================
感觉这样还行`~!
Atai-Lu 2007-01-21
- 打赏
- 举报
up
Atai-Lu 2007-01-21
- 打赏
- 举报
这似乎是个不错的方法。
Atai-Lu 2007-01-20
- 打赏
- 举报
up
xiaoqiang08 2007-01-20
- 打赏
- 举报
你那样,用户进来后先判断cookies是不是存在,如果存在就获取,如果不存在在让用户重新登录喽,如果存在在把用户的信息调到session里用来进行每个页面的检验,不过这个不安全,别的也没有什么办法啊!我看了看好像和没说一样,都费话。
Atai-Lu 2007-01-20
- 打赏
- 举报
问题是,再次赋值应该如何做?让用户重新登陆?显然是不行的。或者将用户的登陆信息记录到数据库?那样的话,判断用户是否退出登陆就是个头疼的问题。
abcdefg_king 2007-01-20
- 打赏
- 举报
我也考虑过这个问题,一般cookie的生命周期更好一点,只要开着浏览器就可以,但是不安全,session 很安全 但是有时间限制不灵活,尝试可不可以一起用,在适当的时候给session再次赋值。
Atai-Lu 2007-01-20
- 打赏
- 举报
倒, 为什么不行, Session 的开销不少, 如果访问量大的话, 都用 Session 是个大问题...不过要是访问量不大, 爱咋咋滴...
进入后台管理进行验证是不错的, 现在的人可精着呢...
===================
的确session的开销也是个问题
ghost1062(老婆的情人) ( ) 信誉:100 Blog 2007-1-20 15:16:16 得分: 0
在修改session的过期时间的时候为什么不起作用呢,我都改到50000了,但还是很快都会过期的
======================
只要用户在一段时间内没有与服务器进行通讯,服务器就会当用户已经退出登陆状态,然后把该用户的session清除了。所以你设置的时间再长,只要用户不活动,你的时间设置就不会有效果。
进入后台管理进行验证是不错的, 现在的人可精着呢...
===================
的确session的开销也是个问题
ghost1062(老婆的情人) ( ) 信誉:100 Blog 2007-1-20 15:16:16 得分: 0
在修改session的过期时间的时候为什么不起作用呢,我都改到50000了,但还是很快都会过期的
======================
只要用户在一段时间内没有与服务器进行通讯,服务器就会当用户已经退出登陆状态,然后把该用户的session清除了。所以你设置的时间再长,只要用户不活动,你的时间设置就不会有效果。
btbtd 2007-01-20
- 打赏
- 举报
倒, 为什么不行, Session 的开销不少, 如果访问量大的话, 都用 Session 是个大问题...不过要是访问量不大, 爱咋咋滴...
进入后台管理进行验证是不错的, 现在的人可精着呢...
进入后台管理进行验证是不错的, 现在的人可精着呢...
Atai-Lu 2007-01-20
- 打赏
- 举报
btbtd(點點點...)(太浮躁不行...) ( ) 信誉:100 Blog 2007-01-20 14:59:27 得分: 0
普通操作都用COOKIES, 涉及到删除更改的地方用Session
=======================
这样倒是一个好办法,但是如果论坛的奖励积分等权限让别人很容易的就获取了,似乎也不大好吧?难道没有更好的解决方式?或者,每次进行管理操作的时候,都需要输入一次用户密码?这样也太麻烦了,还不如使用session。
普通操作都用COOKIES, 涉及到删除更改的地方用Session
=======================
这样倒是一个好办法,但是如果论坛的奖励积分等权限让别人很容易的就获取了,似乎也不大好吧?难道没有更好的解决方式?或者,每次进行管理操作的时候,都需要输入一次用户密码?这样也太麻烦了,还不如使用session。
ghost1062 2007-01-20
- 打赏
- 举报
在修改session的过期时间的时候为什么不起作用呢,我都改到50000了,但还是很快都会过期的
Atai-Lu 2007-01-20
- 打赏
- 举报
xiaoqiang08(我是小强) ( ) 信誉:100 Blog 2007-01-20 14:28:16 得分: 0
可以把session的过期时间设置长一点一个小时,两个小时都可以啊!为什么要局限于那个20分钟呢?
===========================
设置成24小时或者更长的时间还是一个效果。只要用户在一定时间内不活动,session就会过期。当然,如果设置的时间过短,比如10分钟,这样的话,即使用户在20分钟内都在活动,超过10分钟之后,session一样都会失效。
可以把session的过期时间设置长一点一个小时,两个小时都可以啊!为什么要局限于那个20分钟呢?
===========================
设置成24小时或者更长的时间还是一个效果。只要用户在一定时间内不活动,session就会过期。当然,如果设置的时间过短,比如10分钟,这样的话,即使用户在20分钟内都在活动,超过10分钟之后,session一样都会失效。
btbtd 2007-01-20
- 打赏
- 举报
普通操作都用COOKIES, 涉及到删除更改的地方用Session
xiaoqiang08 2007-01-20
- 打赏
- 举报
可以把session的过期时间设置长一点一个小时,两个小时都可以啊!为什么要局限于那个20分钟呢?
