请问老师关于cookie和token
来源:11-9 HTTP 授权 需求分析+ 代码实现 + demo 编写
hy_wang
2020-12-08
请问一下老师看到您在别的同学回答下讲到关于cookie使用http-only属性,这样的话在下发token应该通过什么途径呢?我理解是下发token存储在cookie中。一般工作场景中大部分会中cookie取到这个token值然后在header中携带防止xsrf。但是老师讲到cookie携带http-only属性,这样的话js无法读取cookie,那么自然也就无法取到token。我能想到的也只有在客户端下发cookie中携带token,之后客户端发送请求时候携带cookie(cookie中本身就存在token)向服务端发送请求。请问老师是这样的吗。
还有一点我不是很明白的是,原本cookie也是每次都在变化的,如果把token仅仅放入cookie中和服务端做鉴权。那么和本身的cookie机制有什么区别呢?我不是特别明白这个,希望老师有空可以解惑。
写回答
1回答
-
ustbhuangyi
2020-12-09
服务端会下发 http-only 的 cookie,前端并不需要读取这个 cookie,因为发送同域名的请求就会自动携带这个 cookie。
不理解你说的 cookie 本身机制是什么意思,之所以要 http-only,就是防止一旦页面被 xss 了,攻击者能拿到这个 cookie。022020-12-09
相似问题