问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

RBAC Role信息应该存在Cookie还是Session?

头像
allankliu
    23263753

    RBAC的角色信息可以保存在Cookie中么?即便采用Cookie保存SessionID,Role保存在Session中,如果Cookie被劫持,即SessionID被劫持,那么Role保存在Session中似乎也没有起到保护作用?

    如果Session保存Role,那么每次URL都需要查询一次数据库。数据库很容易成为一种系统瓶颈?

    rbac
    阅读 3.8k
    1 个回答
    得票最新
    头像
    eechen
      15.1k51729
      ✓ 已被采纳

      RBAC(Role-Based Access Control,基于角色的访问控制)
      用户表(user)+关系表1+群组表(role)+关系表2+权限表(permission)
      这些信息本身存在数据库.
      cookie里存用户ID,用户具有的权限应该是根据用户ID查出来.
      如果觉得数据库压力大,可以使用Redis/Memcachd等第三方缓存.
      HTTP下cookie都有可能被劫持,防止劫持只能上HTTPS.

      撰写回答
      你尚未登录,登录后可以
      • 和开发者交流问题的细节
      • 关注并接收问题和回答的更新提醒
      • 参与内容的编辑和改进,让解决方法与时俱进