Сохраняет только имя пользователя в плохой практике использования файлов cookie
В приложении мы передаем значение UserName внутреннему API.
Прежде чем сделать Ajax вызов API, я вызываю функцию с именем GetUserName(), как показано ниже. Эта функция в основном сохраняет имя пользователя в печенье. Я не хочу всегда делать Ajax вызовы на сервер, чтобы получить имя пользователя.
Код:
function GetUserName()
{
//TODO
1. If UserName Cookie exist, return it.
2. If UserName Cookie doesn't exist, then make Ajax call to server to Get
UserName and set the Cookie.
}
Как уже говорилось, здесь хранить имя пользователя и пароль на стороне клиента — плохая практика.
Но хотел бы знать, является ли плохой практикой хранить только имя пользователя в файле cookie для этого сценария? Или я должен зашифровать UserName ?
Любая помощь будет здорово.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Что ж, пользователь может (и будет) редактировать файл cookie и в конечном итоге использовать имя пользователя другого пользователя. Если эта функция GetUserName является чисто косметической, продолжайте, но если вы используете ее для чего-то, связанного с сеансом, вы напрашиваетесь на неприятности. См. OWASP раздел идентификаторов сеансов и безопасности файлов cookie, если вы планируете это сделать.
Поскольку имя пользователя (обычно) является информацией публичный, я не вижу причин против