อาจเป็นคำถามโง่ๆ แต่ฉันหวังว่าจะมีคนอธิบายให้ฉันฟังแบบง่ายๆ เพื่อให้มือใหม่เข้าใจได้
สมมติว่าฉันมีไฟล์เฉพาะผู้ใช้ที่ลงชื่อเข้าใช้เว็บไซต์ WordPress ของฉันเท่านั้นที่ได้รับอนุญาตให้เข้าถึงได้ ถ้าฉันใช้ตัวแปรใน nginx เพื่อเปลี่ยนเส้นทางผู้ใช้ที่เข้าสู่ระบบไปยังไฟล์นั้นตามการมีอยู่ของคุกกี้ที่เข้าสู่ระบบ เช่น:
ถ้า ($http_cookie ~* "(wordpress_logged_in_)") {
กลับบลาๆ
}
จะเป็นการใช้งานที่เหมาะสม ปลอดภัย หรือยอมรับได้หรือไม่?
เป็นไปได้ว่าฉันไม่เข้าใจคำถามอย่างถูกต้อง แต่ในทางทฤษฎีคุณไม่ควรใช้ การมีอยู่ ของคุกกี้เพื่อระบุว่าผู้ใช้เข้าสู่ระบบหรือไม่ คุณควรใช้ค่าเข้ารหัส (โทเค็นการเข้าถึง) ภายในคุกกี้ ซึ่งมีเพียงเซิร์ฟเวอร์เท่านั้นที่สามารถถอดรหัสได้ เพื่อให้คุณทราบว่าผู้ใช้นั้น (ยัง) เข้าสู่ระบบอยู่และ แม้แต่บทบาทใด (หากไม่ใช่สิ่งที่ 'อ้างสิทธิ์' ที่พวกเขามีเกี่ยวกับ 'การอนุญาต' และเมื่อเซสชัน/โทเค็นการเข้าถึงจะหมดอายุ) หรือที่เรียกว่ากระบวนการ 'การรับรองความถูกต้อง' (& 'ออกจากระบบ'/สิ้นสุดเซสชัน) หนึ่งในอุดมคติที่ใช้ OAuth v2 หากไม่รองรับ OIDC(/OID-C/'Connect') ด้วย
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
