web-services - HTTP 会话安全和会话 ID
问题描述
如果典型的网络服务器通过 Session-ID(存储在 cookie 中)确定用户 - 是什么阻止我从另一个知己用户那里替换 Session-ID,这样我就可以做像经过身份验证/授权的用户这样的事情?是否有任何其他机制来确定真正的会话?
解决方案
会话 ID 通常是安全生成的令牌,会在一段时间后过期。
所以是的,如果您从其他用户那里获得令牌,您可以冒充他。
实际上,猜测这个令牌甚至比猜测用户密码还要难。而且您只有很短的时间可以这样做,之后令牌就会过期。
推荐阅读
- python - 计算散点图的正弦回归
- c - 在 C for OpenMP 中将嵌套的 for 循环重写为没有冗余的单个 for 循环
- docker - 即使使用 --with-registry-auth,Docker 堆栈部署也不会从私有 resgistry 中提取图像
- python - main.py和requirements.txt不在同一个目录下如何部署谷歌云功能
- python - 对 Project Euler #81 得到错误的答案
- ios - 如何在 SwiftUI 中实现这个自定义选择器控件?
- r - 如何创建显示优势比和 95% CI 的图
- node.js - node.js 中的 url 模块
- c - insmod 因“模块中的未知符号”而失败
- c++ - 使用 g++ 4.8 编译的 libtensorflow.so 导出非 c++11 符号,但外部软件使用来自 tensorflow 标头的 c++11