背景故事: 我们运营着一个拥有数千名用户和少数管理员的网站。其中一些管理员不需要对网站的所有访问权限，因此我想通过授予他们个人权限来限制他们的访问。

我的计划是在用户登录时设置一个具有用户权限的 session ，如果有的话。但是，我担心这可能是不安全的操作。

用户客户端可以操作 Session 吗？在这种情况下，如果普通用户知道权限名称并为自己设置 session ，则他们可以获得对管理功能的访问权限。

我在 Stackoverflow 上找到了一些相关的问题，但他们没有给我足够的关于这个主题的信息。

您已经为管理员和用户提供了登录信息，因此请保存他们拥有的权限类型，并授予他们根据该权限修改数据的权限。只要您的 session 状态是加密的，就很难在客户端进行操作。
如果您担心现有 session 和 cookie 的安全性，这里是确保其安全的链接。
Secure your Session

这是完整的文章如何使您的 session 和 cookie 安全...