javascript - Web アプリケーションでユーザーを識別する最良の方法

Question

他のユーザーと対話する webapp を実行したいのですが、ユーザーがログインとパスワード ( BrowserQuestなど) でサインアップすることは望ましくありません。

次に、ローカルストレージに格納された乱数を持つ変数を使用することを考えました。しかし、誰かが私のコードを分析し、名前が格納されている変数を確認してから URL に書き込む場合、安全ではないと思います。

javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0);

彼は自分のアカウントを盗むことができます。

次に、iPhone/iPod/iPad ごとに一意の ID を考えました。しかし、javascript ではアクセスできません: Get iphone ID in web app。IPもありますが、信頼できません。Cookie もありますが、ここでもユーザーはインジェクションを使用できます。

Web アプリケーションでユーザーを識別する最良の方法は何ですか?

Answer 1

1 つの解決策は、各ユーザーに、そのユーザーだけが知っている一意のセッション ID (おそらく Cookie 形式) を与えることです。これにより、バックエンドでユーザー ID に接続されます。

別の解決策は、Cookie のユーザー ID を署名付き Cookie として設定することです。繰り返しますが、これはバックエンドに依存しますが、ここで Python ソリューションを確認できます: http://webpython.codepoint.net/mod_python_publisher_cookies_signed。