→ MOONRAKER:你後端只有一個程式在接收前端? 04/15 12:21
→ buganini:狀態要存在各自的session 不是所有人共用 04/15 14:04
→ rocairforce:是的 接收的地方有一個,存在SESSION我試過 04/15 14:38
→ rocairforce:不過我一直有個盲點,不管是session、cookie還是直接 04/15 14:38
→ rocairforce:POST給我的,我都不相信,我只管這個登入者的ID 04/15 14:39
→ MOONRAKER:這不是毫無信賴可言 要怎麼寫程式 04/15 14:41
→ rocairforce:有時會思考,我是不是over design了 04/15 14:41
→ MOONRAKER:頂多你用sha系列的hash和時間碼、IP、和其他特徵產生一 04/15 15:13
→ MOONRAKER:個大hash放在form裡面 當然也包含這個form要執行的工作 04/15 15:14
→ MOONRAKER:在後端可以重建來比對,這就夠強了 04/15 15:15
→ MOONRAKER:但是管理介面一般而言已經是限縮使用群了 那麼緊張的設 04/15 15:16
→ MOONRAKER:計到底有沒有必要 有些事應該要由sysadm和硬體來處理的 04/15 15:17
→ qwertmn:可以學google..他用cookie or session 搭配template 產js 04/15 16:05
→ qwertmn:的密碼程式..再把result 塞回form 理面驗證.. 04/15 16:06
→ qwertmn:ps:密碼程式的參數會隨狀態改變... 04/15 16:07
→ qwertmn:沒辦法執行js..也幾乎是無解了... 04/15 16:09
→ qwertmn:最少我沒找到規律.. 04/15 16:09
→ buganini:session是你自己存在server side的 為何不可信? 04/16 12:25
→ buganini:即使session id放在cookie,他也是設計成一個不容易被 04/16 12:26
→ buganini:猜到hijack的長度,大不了你再加ip/ua檢查抵擋hijack 04/16 12:26
→ buganini:或是自訂session id,再怎麼樣,不需要把擋hijack的成本 04/16 12:27
→ buganini:弄的太over就是了…除非連tcp防hijack的能力和ssl都不信 04/16 12:29
→ rocairforce:抱歉現在才回,感謝各位的回覆,主要還是卡在RBAC 04/18 09:58
→ rocairforce:如何帶入到須求裡,專案告一段落再來分享這次的經驗 04/18 09:58