标签：问题 安全 sessionID session cookie 服务器 服务端 客户端

客户机访问服务器的每一个页面都会产生一个cookie，但是客户端在请求的时候会去查看自己保存的所有cookie文件(是一个纯文本文件)，找到和要请求的服务器同名的cookie挑选合适信息一并发送。服务端和每个客户端之间都有一个session，并且服务端会创建sessionID返回给客户端，客户端将其保存在cookie里，因此客户端未开启cookie就无法保存，下一次客户端发送请求就会带上cookie及里面的sessionID去和服务器的sessionID匹配，如果匹配成功那么服务端就会认识你，让你获取session里的数据，这里可能会发生安全问题，就是别人窃取你的cookie知道你的sessionID冒充你也是可能的。所以我们可以通过将sessionID放在url后用键值对并且加密的形式传送(这时候我们也不需要客户端开启cookie了，因为服务端并不是将sessionID添加在cookie里再返回，而是直接用response返回，客户端可以直接接收)，涉及到加密解密就不用担心了。

认证，指的是我要提供用户名和密码。授权，指的是服务端给我什么权限。

标签：问题,安全,sessionID,session,cookie,服务器,服务端,客户端
来源： https://www.cnblogs.com/riverer/p/dwededede.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。