session的key保存在cookie里,那么别人那道了cookie里的session key,是不是就可以模仿用户登录了呢?
来源:6-6 session和cookie自动登录机制
CarlShen
2018-10-17
如果说用户登录信息不存放在cookie里是为了安全,怕别人模仿,那么用session,给用户发一个session key来记录,别人一样可以获取到session key在模仿登录,在服务端,无法辨别是谁拿着key来登录,只要有key的人就可以登录,原理应该是这样理解吧,那么怎么保证session一定安全呢?
写回答
1回答
-
bobby
2018-10-18
session和token一样,所有的网站都是这样的,只要拿到session就可以模仿你登录,如果这个服务端能破解的话,那所有的爬虫模拟登录将全部失效, 所以没有绝对的安全,一般为了解决这个问题会给session加一个过期时间,第二种方式就是将session和ip绑定,只有某个ip的用户拿着这个session才能访问,但是这种对于动态ip的用户来说体验很差,所以一般都只是加一个过期时间,过期了这个session就没用了
162020-04-10
相似问题