risk mongoDb _id和cookie

Question

我想知道是否有安全问题id我在cookie中设置我的用户的_id来识别用户，还是设置cookie用户名和另一个编码pwd会更好

谢谢

Answer 1

是的，这绝对是一个安全风险--这意味着，如果用户可以发现另一个用户的_id (例如，如果您意外地将其显示在某个地方)，他们就可以以该用户的身份登录。更糟糕的是，_id不能在事后更改，因此没有办法强制另一个会话远程注销，或者从被盗的cookie中恢复。

使用会话进行登录，而不是用户特定的数据。

Answer 2

一种评论，一种回答。

提供的选择都不好；也称为Morton's fork。

1. 将userid放在cookie中:不好，因为正如duskwuff所说，cookie可能会被窃取，而id会被传回。没有办法阻止它。
2. 将用户名和加密密码放在cookie中:出于完全相同的原因，这是不好的。

第三个选项更可取:发回一个生命周期有限的加密会话ID。一旦服务器确定会话超时，就不要再使用它。