バックグラウンド ストーリー:私たちは数千人のユーザーと少数の管理者がいる Web サイトを運営しています。これらの管理者の一部は、Web サイトへのすべてのアクセスを必要としないため、個別の権限を付与してアクセスを制限したいと考えています。
私の計画は、ユーザーのアクセス許可があれば、ユーザーのログイン時にセッションを設定することです。しかし、これは危険な行為ではないかと心配しています。
セッションはユーザーのクライアント側で操作できますか? この場合、通常のユーザーは、パーミッション名を知っていて自分用にセッションを設定すれば、管理機能にアクセスできます。
Stackoverflow で関連する質問をいくつか見つけましたが、この件に関する十分な情報が得られませんでした。
あなたはすでに管理者とユーザーにログインを提供しているので、彼らが持っている権限の種類を保存し、それに応じてデータを変更する権限を与えます..そして、セッション状態が暗号化されている限り、クライアント側で操作することは非常に困難です. 既存のセッションと Cookie のセキュリティに懸念がある場合は、安全にするためのリンクがここにあります。 セッションを保護する
これは、セッションと Cookie を安全にする方法の完全な記事です...
実際、ユーザー エージェント、IP アドレスなどのサーバー変数 (および JavaScript 変数も) を保存できますが、永続的な Cookie データがクライアントの新しい接続と一致することを検証する場合にのみ有効です。クライアント(あなただけのように)がページの読み込みごとに変更されないことがわかっている場合(AOLのように)を除いて、IPアドレスは良い考えではありません。
最新の Web ブラウザーや LastPass などのサード パーティのサービスは、データをログイン フォームに送信するためにキーを押すだけで (場合によってはキーを押さないこともあります)、ログイン資格情報を保存できます。永続的な Cookie は、他の方法で利用できるものを使用することを拒否する人々にのみ適しています。最終的に、永続的な非セッション Cookie は、もはや実際には必要ありません。
SSL のみを介して送信されない限り、安全な Cookie などというものはありません。永続的な非セッション cookie を使用すると (覚えておいてください)、自分が行っていることを正確に実行することで、ある程度軽減できますが、考えているのと同じ方法ではありません。