session 安全吗？

没有绝对的安全，session 要有安全周期，salt要经常换，要防止xss，用户要经常改密码，最好再来个手机验证

@TangMonk 恩谢谢。我这样设计session，不说其他方面的。是主流的设计吗？

大部分都是这样的

session安不安全本身这个问题就有问题，就好象在问网站安全吗一个道理，你应该问的是怎么样操作session更安全

你家的锁安全吗？所以…

[防泄漏] ：session id随机生成且长度足够；httponly；传输层https。 [泄露止损] ：控制session有效期；绑定ip或设备信息；session id批量失效； [这类都属于安全和风控范畴]

我的看法，session本身并不是解决安全这个系统需求的吧。
因为HTTP是无状态的协议，也就是每次请求重新建立TCP连接。
因此需要一种机制让服务器端能够知道这个请求上次来过。
这就是session机制的作用。即当一个客户端第一次请求时，服务器发送个session id给客户端，以后每次请求客户端都携带这个id。
如果需要解决安全这个需求，一般要使用HTTPS，让整个通信线路SSL加密，才可以解决基本安全问题。

这样安全么 这个问题是伪命题 在密码学里面 安全的定义就是 破解的成本大于你保护的东西的成本的时候就可以认为是安全 和doss攻击一样 人家带宽远大于你的带宽的时候你就没办法了。。 所以人家用超级计算机来攻击你的32核服务器 分分钟让你的系统不安全 还是先确定应用场景吧

看着没什么问题，就看你怎么用的，具体是怎么操作的/httponly https id不要重复 这些需要考虑下