通过cookie,浏览器和客户端可以实现状态的记录。但是cookie并非是完美的,前文提及的体积过大就是一个显著的问题,最为严重的问题是cookie可以在前后端进行修改,因此数据就及容易被篡改和伪造。如果服务器有部分逻辑是根据cookie中isVIP字段进行判断,那么一个普通的用户通过修改cookie就可以轻松享受到VIP服务了。综上所述,cookie对于敏感数据的保护是无效。
为了解决cookie敏感数据的问题,session应运而生。session的数据只保留在服务器端,客户端无法修改,这样数据的安全性得到一定的保障,数据也无需在协议中每次被传递。
虽然在服务器端存储数据十分方便,但是如何将每个客户和服务器中的数据一一对应起来,这里有常见的两种实现方式。
第一种:基于cookie来实现用户和数据的映射
虽然将所有的数据放在cookie中不可取,但是将口令放在cookie中还是可以的。因为口令一旦被篡改,就丢失了映射关系,也无法修改服务器端存在的数据了。并且session的有效期通常较短,普遍的设置是20分钟,如果在20分钟内客户端和服务器端没有交互产生,服务器端就将数据删除。由于数据过期时间较短,且在服务器端存储数据,因此安全性较高。
第二种:通过查询字符串来实现浏览器端和服务器端数据的对应