关于修改session

老师，在平时vue后台项目中，前端没做动态路由的情况下，将获取的用户类型保存在了session中，然后根据用户类型去显示相应的菜单，但修改session的值后，就显示了另外权限的菜单(神仙后台也没做权限校验，进去菜单后可以随便的删除)。还有类似于从其他页面获取id在经过session再在其他页面将id返回后台。就对于修改session，保存字段这类操作，一般正确的处理方法怎么样的？我现在处理方式是对session中的字段使用密钥进行加密，能用vuex就用vuex保存

y9527 2020-07-30

源自：深入理解Vue2框架知识（选修） 3-11 路由，vuex状态管理（组件传参），Computed计算属性-2

收起

1回答

Brian 2020-08-01 23:39:10

老师，在平时vue后台项目中，前端没做动态路由的情况下，将获取的用户类型保存在了session中，然后根据用户类型去显示相应的菜单，但修改session的值后，就显示了另外权限的菜单(神仙后台也没做权限校验，进去菜单后可以随便的删除)。还有类似于从其他页面获取id在经过session再在其他页面将id返回后台。就对于修改session，保存字段这类操作，一般正确的处理方法怎么样的？我现在处理方式是对session中的字段使用密钥进行加密，能用vuex就用vuex保存

保存在了session中——

session 在前端来说不就是一个id字符串吗？在后台，去根据浏览器传递过来的这个id去查redis中对应的用户数据，这才安全啊！

收起回答

提问者 y9527 #1

我的意思是，比如后台一接口需要传递的字段中需要userId，而这userid是登录时候获取的，我放到了session中，如果有用户修改了session中的这个字段，那用到时传给后台userid不就错了吗？就是类似这种跨页面传值的

2020-08-01 23:52:37
Brian 回复提问者 y9527 #2

我天，你们这么玩？后台不需要传什么userId，后台只需要设置session，在里面放置一个随机的或者加密的字符串，浏览器会在请求的时候带上这个cookie。那么，后台，通过取这个字符串，去redis中对应（key-value）用户敏感数据，比如：userid或者roles之类的。那么，前端是不知道这些信息的~~~去好好看看session/cookies机制，课程中有讲到。

2020-08-01 23:58:31