authentication - 服务器如何验证基于会话的 cookie 是真实的?
问题描述
我试图了解来自客户端的基于会话的 cookie 是如何被服务器验证的。对于上下文,这是我的高级理解:
对于身份验证,我知道有两种方法,会话和令牌。
令牌身份验证通常是使用私钥签名的 JWT。使用此密钥,服务器可以验证用户 ID(或其他)是否真实。
对于基于会话的,当用户登录时,服务器上会创建一个唯一 ID,并将其传递给客户端并存储为 cookie。然后对于来自客户端的每个请求,cookie 是标头的一部分,服务器可以查找 ID 以了解客户端是谁。
我的问题是服务器如何知道这个ID是真实的?恶意客户端是否可以使用不同的 ID 试试运气,直到其中一个成功?
解决方案
我相信,这是在:https ://stackoverflow.com/a/48717678/7648461 中回答的。
简而言之-> 有记录跟踪哪个用户和哪个会话密钥。
推荐阅读
- html - CSS将整个相对主体水平居中,没有包装器或滚动条?
- regex - 在python中使用正则表达式进行模式匹配没有给出预期的操作
- powershell - 如何删除空格并仅显示文本(如 awk)?
- python - 使用相对路径获取python中的所有png文件
- mysql - mariadb 每天增加磁盘使用量并在停止 mariadb 守护进程时回收空间
- java - 如何从 Firebase 实时数据库 Java 中的子节点检索数组数据?(Firebase 回收器适配器)
- php - 启用 fileinfo 但仍然收到错误 WordPress 插件要求
- c - 如何在 ftrace 中打印 trace_printk 的完整跟踪文件?
- python - 按行连接 3D numpy 数组
- javascript - 我需要在引导多选时触发离开事件,但我也不能点击甚至不工作