关于用户登入用户信息保存问题

浅浅浅浅 发布于 2017/03/31 10:32
阅读 121
收藏 0

情况是是这样的,哪天我去面试,面试官问了这么一个问题为什么要把用户信息保存在session中,我回答这样比较安全,他提问session是有时间的,如果存活时间设置的太长会对服务器造成压力,我说我是根据用户是否还在操作决定刷新session时间的。他又问能保存在cookie中吗我说不安全,他说可以加密保存。还和我说网易腾讯都是这么做的。

当时我没得反驳了,在这里问下在现在破解工具横行的时候把用户信息这样保存真的可以吗。

再小声的问下,联合签名。我MD5加上3des这样的加密算联合签名吗,这样的加密的用户信息能不能放在cookie里面呢

 

话题:是你们的话会怎么反驳这个面试官呢

加载中
0
袁国涛
袁国涛

这要看应用场景。如果是巨大的用户数量的系统,信息肯定不能保存在服务器会话中,不管是不是有时间限制。浏览器本地存储当然是可以。没有什么是破解不了的,安全不安全要看信息敏感度和系统的安全要求以及解密的成本。一般的业务系统,完全内网运行的,过度考虑安全纯属浪费精力。

袁国涛
袁国涛
回复 @浅浅浅浅 : 最简单的用途是撞库
浅浅浅浅
能不能再请教你下,一个电商项目的用户信息可以吗。还有如果非法获取到用户的id和name之类的,那这些数据可以拿来做什么呢,我一直不知道所谓的安全是指哪方面
0
lexang
lexang

没人了呀 不清不楚

返回顶部
顶部