谈到Cookie和Session,以前总是一知半解。幸得下班前得临之大哥指点,有醍醐灌顶之感。
这一切都要从csrf讲起了。众所周知,csrf漏洞产生的原因就是不完善的身份认证,如何理解呢?打个比方,有人捡了你的身份证,就可以拿它坐火车了吗?不,通过面部认证这一步骤,可以避免这样的悲剧发生。这就是完善的身份认证的例子。先说一步,这里的身份证就是类似于cookie的东西,面部认证这样的二次认证一看也知道是提高身份认证安全性的关键步骤。
哈哈,一不小心就把cookie说出来了。那什么是session呢?
仍旧是找一个场景。比如我们去银行ATM机上取钱,将银行卡插进去后,借助上文所说,这就是向系统/服务器呈递一个cookie。系统读取银行卡后,即分析cookie背后的信息,找到所指向id的账号信息和身份特征。接着,系统会读取这个账号下的信息,找到里面事先存好的关于这个账号的隐秘信息比如密码,向用户发出验证请求,用户通过后才可享受真正的服务。否则,要么把卡给ATM机吞掉,要么享受插卡拔卡的时光。
这里,服务器所存储的关于指定账号的信息,就是session。
因此,客户端没有session一说,服务器更不可能有cookie这个问题。
正确的业务逻辑下,cookie用于服务器挑选二次验证的答案,session便是真正的答案所在之处。cookie和session合作起来,才能把用户验证工作完成得又快又好。
关于cookie和session的详细介绍,我想下面这篇文章可能再好不过了:
