用戶登錄的信息為了節省服務器端資源一般是要保存到客戶端的,這時候就會用到Cookie,但是大家都知道Cookie是可以被偽造的,那怎么防止被偽造呢?
其實也很簡單,我的方法是多添加一個userkey的cookie,該值為userId或者userName加上一個服務器端固定的字符串,然后在經過MD5加密,MD5(userId+"mysite")或者MD5(userName+"mysite"),服務器端在判斷權限時,先判斷userkey是否正確,如果正確再做其他操作。
這樣做在很大程度上杜絕了Cookie偽造導致的網站安全問題,當然如果你還是覺的不安全說MD5可以破解,那完全可以用多重加密的方式,如:sha,base64和MD5等混合使用,黑客在不知道你的加密算法和那個固定字符串的情況下很難算數這個userkey的。