View Full Version : سوال: Cookie یا session برای تشخیص هویت
Zabi42
دوشنبه 09 اسفند 1389, 20:15 عصر
برای ساختن تشخیص هویت بهتره که اصلاعات کاربر در Cookie ذخیره شه یا Session؟؟؟؟؟؟
لطفا جواب رو با ذکر دلیل بگید.
ایا اصولی در این زمینه وجود داره؟؟؟
من در این مورد search زدم و صفحات متنوعی رو هم دیدم
سوال من اینه سایت من کار بر زیادی داره و با توجه به مطالبی که جستجو کردم بهتره از session استفاده نشه چون واسه سرور سربار زیادی میاره مشکل استفاده از کوکی هم میگن امنیتش هست حالا برای امنیت کوکی ها میشه کاری کرد مث رمز نگاری یا نیازی نیست؟؟؟؟
میگن کاربر میتونه اطلاعات کوکی رو دست کاری کنه ایا این کار راحته؟؟چطور میشه اینکارو کرد؟؟؟
Javad.Kashi
دوشنبه 09 اسفند 1389, 22:46 عصر
سلام
هنگام استفاده از FormsAuthentication از Cookie ها برای ذخیره اطلاعات لاگین کاربر استفاده می شود و همنطور که گفتید استفاده از session ها کار خوبی نیست .
اما از نظر امنیت من اطلاع دقیق ندارم و امیدوارم دوستان در این باره نظر خودشان را ارائه دهند
یا علی
Javad_Darvish_Amiry
دوشنبه 09 اسفند 1389, 23:11 عصر
سلام خسته نباشید. دوست عزیز، سشن (نشست) قسمتی از حافظه است که برای ذخیره موقتی داده هایی که به هر کاربر حین بازدید از سایت تعلق داره قرار میگیره. و اصولا حفظ وضعیت هم با کمک کوکی انجام میشه. یعنی توی کوکی یه سشن آی دی داریم که با هر بار تعامل کاربر با سرور (مثل درخواست یه صفحه جدید، ارسال یه فرم، یا حتی درخواست یه تصویر یا فایل جاوا اسکریپت)، از روی اون آی دی اطلاعات نشست کاربر مربوطه (از حافظه) بازیابی میشه. یعنی شما لاجرم به استفاده از کوکی هستید. و سشن اصوالا ربطی به سیستم لاگین نداره. چون کاربران لاگین نکرده هم دارای سشن هستند. روی کوکی به هیچ وجه اطلاعات مهم قرار نمیگیره و چون سیستم پیش فرض دات نت کوکی مربوطه رو رمز نگاری میکنه، پس جای نگرانی از این بابت نیست. تعداد کاربران زیاد هم تنها از این جهت میتونه تو سشن مشکل ساز باشه که حجم اطلاعات ذخیره شده تو حافظه میره بالا که برای حل این مشکل میتونید وضعیت نگهداری سشن رو از این-پراک به دیتابیس تغیر بدید. اینطوری اطلاعات نشست تو بانک ذخیره میشن (با همون آی دی که بالاتر بحث شد) و هر بار که کاربر درخواستی به سایت میفرسته، از روی کوکی مربوطه آی دی خونده شده و از روی آی دی مورد نظر اطلاعات نشست از بانک واکشی میشن.
نکته:
در صورتی که از بانک برای نگهداری اطلاعات سشن استفاده کنید، رویداد Session_Start اتفاق نمیفته و خودتون باید کنترلش کنید.
Zabi42
سه شنبه 10 اسفند 1389, 01:16 صبح
ممنون از پاسختون
اقای Javad_Darvish_Amiry در کل نظر شما اینه که از session استفاده بشه به شرطی که مدیریت session رو با ذخیره کردن اون در database خودمون بدست بگیریم ؟؟؟ اگه میشه در رابطه با این روش یه مثال بزنید و بیشتر توضیح بدید . توی این روش connect و discoonect شدن به پایگاه داده همون سربار رو رو سرور ایجاد نمی کنه؟؟؟؟؟؟
روی کوکی به هیچ وجه اطلاعات مهم قرار نمیگیره و چون سیستم پیش فرض دات نت کوکی مربوطه رو رمز نگاری میکنه، پس جای نگرانی از این بابت نیست
اگه جای نگرانی نیست پس چرا نمیشه اطلاعات مهم رو تو cookie نگه داشت؟؟؟؟؟ من جمله بالا رو خیلی دیدم و همیشه سوال بوده برام
برای تشخیص هویت اطلاعات مربوط به کاربر مث نقش و نام و... باید نگهداری شه اینها اطلاعات مهمی اند؟؟؟؟
Zabi42
سه شنبه 10 اسفند 1389, 10:10 صبح
دوستان لطفا نظر بدید
من با توجه به مطالبی که خوندم تصمیم گرفتم از کوکی استفاده کنم ولی تو بعضی تاپیکها خوندم که امنیت کوکی پایین و نباید اطلاعات مهم رو توش نگه داریم حالا می خوام ببینم برای کار با کوکی از کدینگ استفاده کنم؟؟؟؟یا نه؟؟؟لطفا دوستانی که تجربه انجام این کار رو سرور دارن راهنمایی کنن چون انجام کدینگ نیز هم از منابع سرور استفاده میکنه و هم زمانبر هستش
می خوام بدونم از نظر امنیتی و سرعت فرق بین کوکی+کدینگ و Session چیه؟؟؟؟
Zabi42
سه شنبه 10 اسفند 1389, 18:27 عصر
دوستان یعنی کسی نظر خاصی توی این دو مقوله نداره؟؟؟؟؟:متعجب:
javad_r_85
سه شنبه 10 اسفند 1389, 20:37 عصر
می تونی اطلاعات را کد کنی بعد در کوکی ذخیره کنی و سپس آنها را دیکد کنی در برنامه استفاده کنی کاری که FormsAutintacation انجام می دهد.
lovers_ali
پنج شنبه 19 اسفند 1389, 10:14 صبح
از اطلاعات خوب و مفیدتون تشکر می کنم . خسته نیاشید .
http://abdolabadonline.com
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.