האם זו פרקטיקה טובה לשמור את הID כמזהה הסשן?
סשן אמור להיות חד פעמי לא? עם תאריך תפוגה.
זה נשמע מפוקפק קצת… הייתי מעדיף ליצור מזהה אקראי ולשמור אותו בשרת לצד הID. זה קצת מסרבל את התהליך אבל נשמע יותר בטוח מאשר לחשוף את הID לצד הלקוח
פספסתי משהו?
באופן כללי לא אמורה להיות בעיה לחשוף את ה ID של השורה מהשרת גם לדפדפן. שני האתגרים סביב חשיפה כזאת הם:
לפעמים אפשר ״לנחש״ ID של משתמש אחר אם יודעים ID של משתמש מסוים (זה קורה אם המזהים אינם אקראיים). רוב הזמן זאת לא בעיה גדולה כי אין מה לעשות עם ID ממילא.
לפעמים שרת ״סומך״ יותר מדי על הדפדפן, ואז אם דפדפן שולח הודעה ומזדהה עם ID מסוים השרת ממשיך את ה Session כאילו זה אותו ID. במערכת אמיתית זה לא צריך לקרות כי תמיד נרצה להוסיף חתימה והגנה משינויים למידע שאנחנו שומרים בצד לקוח