Сохранение имени пользователя в cookie для увеличения кеширования?

Question

Использование: PHP, Symfony 1.4, Doctrine, sfGuard

У меня есть сайт, где большинство страниц может быть кэшировано как полные HTML-страницы.Но есть традиционная «панель инструментов учетной записи пользователя», которая появляется в правом верхнем углу большинства сайтов (показывает имя пользователя, ссылку для выхода из системы и т. Д.)

Это, очевидно, предотвращает полное кэширование страницы в виде HTML, поэтому япланируйте вывод страницы в виде стандартного HTML и добавление имени пользователя и т. д. после загрузки страницы через Javascript.

Когда пользователь войдет в систему, я создам дополнительный файл cookie, хранящий только имя пользователя.Затем Javascript может проверить наличие файла cookie и создать панель инструментов учетной записи.Имя пользователя будет использоваться только для отображения.Для того, чтобы войти в систему, пользователям нужно будет пройти через обычную страницу входа в систему, используя свой пароль и т. Д.

Я искал сообщения в блоге и т. Д., Но не нашел много.Может ли кто-нибудь определить какие-либо проблемы безопасности или другие проблемы с этим?

Answer 1

Пока имя пользователя используется только для отображения, вы должны быть золотым.В качестве альтернативы вы можете использовать XHR, чтобы получить имя пользователя из PHP $ _SESSION.

Меня беспокоит, что вы будете использовать имя пользователя для аутентификации этого пользователя.Или используя имя пользователя в качестве ключа для доступа к вашему кешу, где изменение имени пользователя даст злоумышленнику доступ к чужому кешу.

Answer 2

Вы никогда не должны хранить что-либо чувствительное в куки. Для меня это включает в себя имена пользователей.