Question

В приложении мы передаем значение UserName Внутреннему API.

Перед тем, как Ajax вызвать API, я вызываю функцию с именем GetUserName(), как показано ниже.Эта функция в основном сохраняет имя пользователя в cookie .Я не хочу всегда Ajax звонить на сервер, чтобы получить имя пользователя.

Код:

function GetUserName()
{

//TODO

1. If UserName Cookie exist, return it.
2. If UserName Cookie doesn't exist, then make Ajax call to server to Get 
   UserName and set the Cookie.

}

Как сказано здесь Хранение имени пользователя и пароля на стороне клиента - плохая практика.

Но хотелось бы знать, является ли плохой практикой сохранение только имени пользователя в файле cookie для этого сценария?Или я должен зашифровать UserName?

Любая помощь будет отличной.

David Carracedo Martínez · Answer 1 · 15 февраля 2019

Ну, пользователь может (и будет) редактировать куки и в конечном итоге использовать имя пользователя другого пользователя.Если эта функция GetUserName является чисто косметической, продолжайте, но если вы используете ее для чего-то, связанного с сеансом, у вас возникнут проблемы. См. OWASP раздел идентификаторов сеансов и безопасность файлов cookie, если вы планируете это сделать.

Хранение только имени пользователя в куки плохая практика

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Хранение только имени пользователя в куки плохая практика

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы