RBAC Role信息应该存在Cookie还是Session?

问题描述

问 题

RBAC的角色信息可以保存在Cookie中么？即便采用Cookie保存SessionID，Role保存在Session中，如果Cookie被劫持，即SessionID被劫持，那么Role保存在Session中似乎也没有起到保护作用？

如果Session保存Role，那么每次URL都需要查询一次数据库。数据库很容易成为一种系统瓶颈？

解决方案

RBAC(Role-Based Access Control,基于角色的访问控制)
用户表(user)+关系表1+群组表(role)+关系表2+权限表(permission)
这些信息本身存在数据库.
cookie里存用户ID,用户具有的权限应该是根据用户ID查出来.
如果觉得数据库压力大,可以使用Redis/Memcachd等第三方缓存.
HTTP下cookie都有可能被劫持,防止劫持只能上HTTPS.

这篇关于RBAC Role信息应该存在Cookie还是Session?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！