这可能是一个愚蠢的问题,但我希望有人可以用一种简单的方式向我解释,让初学者能够理解。
假设我有一个文件,只有登录到我的 WordPress 站点的用户才允许访问。如果我使用 nginx 中的变量根据登录 cookie 的存在将登录用户重定向到该文件,例如:
if ($http_cookie ~* "(wordpress_logged_in_)") {
return blah
}
这种用法是否正确、安全或可接受?
答案1
我可能没有正确理解这个问题;但理论上你不应该使用在场使用 cookie 来确定用户是否已登录,您应该在 cookie 中使用加密(访问令牌)值 - 只有服务器可以解密,以便您知道用户(仍然)登录,甚至知道用户的角色(如果不是可能的话,他们还有什么“声明”与“授权”有关,以及会话/访问令牌何时会过期),又名“身份验证”(&“注销”/结束会话)过程,理想情况下是基于 OAuth v2 的过程,如果不是(理想情况下)也支持 OIDC(/ OID-C /'Connect')。