Come può essere conservato un ID utente come sessioni lato client?

3

La documentazione per la gestione delle sessioni in ninjaFramework afferma:

[...] Ninja uses so called client-side sessions. The cookie itself stores the information you want to attach to that session. [...] Ninja sessions are not encrypted by default. Therefore you should not store any critical information. Storing a user id, or username is fine

Che cosa rende "bene" l'archiviazione dell'utente? Il modo in cui ho capito questa sessione lato client è fondamentalmente un cookie con attributi in testo pulito.

Che cosa impedisce a un utente malintenzionato di cambiare semplicemente gli utenti nella sessione e di conseguenza diventare un altro utente (senza accedere) al server?

    
posta Nijin22 02.09.2015 - 13:42
fonte

1 risposta

3

Mentre non crittografate, le sessioni di ninja sono firmate :

A Ninja session is a hash of key/values, signed but not encrypted by default (see next section to enable encryption). That means that as long as your secret is safe, it is not possible for a third-party to forge sessions.

Quindi l'integrità è garantita per le sessioni. L'avviso che hai citato parla di riservatezza.

    
risposta data 02.09.2015 - 15:46
fonte

Leggi altre domande sui tag