明文
无内建的机密性安全机制
嗅探或者代理截断可产看全部明文信息
https只能提高传输层安全(但截断代理一样可以实现中间人攻击)
无状态(udp无状态)
每一次客服端和服务端的通信都是独立的过程
而以后的每次的身份验证都是通过cookie来实现的
session和sessinoid是不同的
session用于在用户身份验证后跟踪用户行为轨迹(提高了用户体验,但增加了攻击向量)
所谓session可以这样理解:当你与服务端进行会话时,比如说登陆成功后,服务端会为你开壁一块内存区间,用以存放你这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcat中对session id的叫法,在其它容器里面,不一定就是叫jsessionid了。),而这个内存区间你可以理解为session。
然后,服务器会将这个session id发回给你的浏览器,放入你的浏览器的cookies中(这个cookies是内存cookies,跟一般的不一样,它会随着浏览器的关闭而消失