- 分析目的:数据保持:
-
方式1:每次请求让他登陆
浏览器请求服务器数据,我们服务器如何知道当前用户在我这已经登陆过,不可能每访问一次都要重新登陆把,这样用户基本上已经奔溃了, -
方式2:利用cookie携带用户隐私信息字段
cookie的特性:-
里面是key-value键值对进行存储的
-
是相对安全的,不同的域名间一般不允许
浏览器第一次访问时,我们服务器生成一个cookie(小甜点),让浏览器携带走,保存在浏览器本地,下次浏览器访问我们服务器带着cookie,我们判断这个cookie是不是我们生成的,从中读出该用户是谁,如果在我这登陆过,此次不需要再校验,直接处理请求,返回响应,
但是这种方式有三个问题: -
问题1:黑客经过破解是可以直接在cookie中拿的到用户的隐私信息字段
-
问题2:别人拿着我的id,模仿我,向服务器发送请求,获取数据:
如果别人B(比如爬虫)拿着用户A的cookie再访问我,我解析以后就认识访问我的人就是A,虽然我能判断请求头中浏览器的唯一标识,但是这个东西是不可靠的,爬虫是可以模拟这个字段的,这样A的信息就泄露了,不安全 -
问题3:而且直接将大批量的数据放到cookie中,且不说浏览器能不能用得到这么多数据,单是让浏览器去解析,吃硬件资源,这样用户浏览压力非常大,不友好
-
-
方式3:cookie+session
既然上边这种cookie方式不安全,我们要改进他,cookie中不再存用户信息,而是放session的id和一些非隐私信息(比如用户名),浏览器每次
-
cookie和session的概述和调用区别(未写完)
最新推荐文章于 2023-03-20 11:34:41 发布