RBAC Role信息应该存在Cookie还是Session?
RBAC的角色信息可以保存在Cookie中么?即便采用Cookie保存SessionID,Role保存在Session中,如果Cookie被劫持,即SessionID被劫持,那么Role保存在Session中似乎也没有起到保护作用?
如果Session保存Role,那么每次URL都需要查询一次数据库。数据库很容易成为一种系统瓶颈?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
RBAC(Role-Based Access Control,基于角色的访问控制)
用户表(user)+关系表1+群组表(role)+关系表2+权限表(permission)
这些信息本身存在数据库.
cookie里存用户ID,用户具有的权限应该是根据用户ID查出来.
如果觉得数据库压力大,可以使用Redis/Memcachd等第三方缓存.
HTTP下cookie都有可能被劫持,防止劫持只能上HTTPS.