用户登录的信息为了节省服务器端资源一般是要保存到客户端的,这时候就会用到Cookie,但是大家都知道Cookie是可以被伪造的,那怎么防止被伪造呢?
其实也很简单,我的方法是多添加一个userkey的cookie,该值为userId或者userName加上一个服务器端固定的字符串,然后在经过MD5加密,MD5(userId+"mysite")或者MD5(userName+"mysite"),服务器端在判断权限时,先判断userkey是否正确,如果正确再做其他操作。
这样做在很大程度上杜绝了Cookie伪造导致的网站安全问题,当然如果你还是觉的不安全说MD5可以破解,那完全可以用多重加密的方式,如:sha,base64和MD5等混合使用,黑客在不知道你的加密算法和那个固定字符串的情况下很难算数这个userkey的。