有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢?
刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章
(没错,其实HTTP本身就不安全,只要是存在cookie中的数据都可以获取到并加以利用,
但是session的安全性也是相对的,由于数据存储在数据库中,就算sessionid被获取利用,
但是session中的数据并不会被恶意程序获取,这一点相对cookie来说就安全了一些;)
记一下来自我自己的分析:
经常存在session -id还存储在浏览器,但是session信息已经过期的情况,此时进行登录,
它会依照你当前的session -id创建session文件。也就是说黑客获得了用户的session -id后并不一定
可以利用这个id进行登录,因为对应的session信息可能已经被销毁了,而且session id中也并没有存储其
它有价值的信息,这就是session比单纯的cookie安全性更高的原因