网站流程是用户登录->执行操作

登录的时候设置cookie，记录userid
那么我在执行操作的时候是否就可以使用cookie的userid判断是否用户已经登录了？

我担心恶意用户修改cookie，这样的话就会有问题了
但是好像cookie是在服务器上有记录吧，所以不太确定是否可行
--
FROM 61.167.60.*

【 在 luckwithme (Marvel) 的大作中提到: 】
: 标  题: 关于cookie的问题
: 发信站: 水木社区 (Mon Jan 21 11:33:41 2008), 站内
:
: 网站流程是用户登录->执行操作
:
: 登录的时候设置cookie，记录userid
: 那么我在执行操作的时候是否就可以使用cookie的userid判断是否用户已经登录了？
可以,网站登录地方的"记住我"之类的都是这么做,不过不一定用userid.
:
: 我担心恶意用户修改cookie，这样的话就会有问题了
: 但是好像cookie是在服务器上有记录吧，所以不太确定是否可行
对userid+若干参数做hash放在cookie里就不容易被冒充了.
:
:
: --
: https://mail.google.com/mail/help/images/logo1.gif
:
:
※ 修改:·dev 于 Jan 21 12:15:50 修改本文·[FROM: 222.130.190.*]
: ※ 来源:·水木社区 newsmth.net·[FROM: 61.167.60.*]
--
修改:dev FROM 222.130.190.*
FROM 222.130.190.*

【 在 dev (知道不知道) 的大作中提到: 】
: 标  题: Re: 关于cookie的问题
: 发信站: 水木社区 (Mon Jan 21 11:45:19 2008), 站内
:
:
: 【 在 luckwithme (Marvel) 的大作中提到: 】
: : 标  题: 关于cookie的问题
: : 发信站: 水木社区 (Mon Jan 21 11:33:41 2008), 站内
: :
: : 网站流程是用户登录->执行操作
: :
: : 登录的时候设置cookie，记录userid
: : 那么我在执行操作的时候是否就可以使用cookie的userid判断是否用户已经登录了？
: 可以,网站登录地方的"记住我"之类的都是这么做,不过不一定用userid.
: :
: : 我担心恶意用户修改cookie，这样的话就会有问题了
: : 但是好像cookie是在服务器上有记录吧，所以不太确定是否可行
: 对userid+若干参数做hash放在cookie里就不容易被冒充了.
这个hash是怎么验证呢？客户端怎么比较呢
: :
: :
: : --
: : https://mail.google.com/mail/help/images/logo1.gif
: :
: :
: ※ 修改:·dev 于 Jan 21 12:15:50 修改本文·[FROM: 222.130.190.*]
: : ※ 来源:·水木社区 newsmth.net·[FROM: 61.167.60.*]
:
:
: --
:
:   传文说:“就这两样啊!那山里有的是呀!”掌柜的大笑道:“是不起眼儿,可就是没人知道!  这就叫:不知道金银不换,知道了全是扯淡!”
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 222.130.190.*]
--
修改:dev FROM 222.130.190.*
FROM 61.167.60.*

我的密码存在服务器上的，开始作一次服务器的认证
【 在 xmucmd (command) 的大作中提到: 】
: 你你你密码是怎么存储的？
--
FROM 61.167.60.*

现在一般不都是明文传的吗，如果有js函数做md5的话也可以考虑一下
【 在 foxban (未毕业的码农) 的大作中提到: 】
: 明文？
--
FROM 61.167.60.*