版权声明:本文为博主原创文章,转载请注明出处。 https://blog.csdn.net/ca1m0921/article/details/84847710
在用户使用某个cookie的登录某个网站时,通过饼干可以拿到安全的访问权限,如果饼干被盗,那么任何人都可以访问网站。
我们需要关注的是如何保证客户端提交数据的保密性和服务器获取信息的随机性,即可变性。
首先,客户端使用安全的方式保存用户信息,例如chrome不允许用户通过浏览器获取Cookie,是一个办法。
另外,客户端提交时,使用足够复杂的方式处理,以避免在另一台主机可以模仿当前主机的提交,也是一个方式,可以通过提交mac地址或者在免密码登录的时候,校验提交主机的MAC地址。
Cookie的信息保存在本地,使用用户名密码JsessionId,每次访问某个网站就提交信息进行验证操作,
会话在每次开启浏览器时生效,因为每次开启浏览器会产生一个会话,并保存其Id值以JsessionId的形式保存到本地,每次重新登录浏览器,就重新创建一个新的JsessionId并保存到本地,以后在每次发出请求之后,发送JsessionId到服务器,服务器在每次请求中都会验证JsessionId。
问:如果客户端没有启动的cookie,也就是说不允许本地记住密码,在一次有效的会话中,服务器如何验证浏览器的每次请求?
答:cookie分为两种,会话cookie和持久cookie,
会话cookie使用JsessionId来保存用户的信息,每次请求只验证JsessionId的值。
持久性cookie使用本地存储的方式,保存用户的用户名密码和JsessionId,在重新打开浏览器登录网站时,使用用户名和密码进行验证,产生一个JsessionId 保存到本地 、会话sessionId、服务器端文件中。