• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Recommended Posts

HTTP 协议的无状态性

HTTP协议的无状态性意味着客户端的每个HTTP请求都是独立的,连续的请求之间没有直接的关系。服务器不会主动保持每个HTTP请求的状态。

bmj4ygs4exf3017.png

如何突破 HTTP 无状态的限制

对于超市来说,为了方便收银员在结算时给VIP用户打折,超市可以给每个VIP用户发会员卡。

y0y3y40xmj13018.png

注意:

现实生活中的会员卡认证方式,Web开发中的技术术语叫Cookie。

什么是cookie

Cookie是存储在用户浏览器中的不超过4 KB的字符串。它由一个名称、一个值和几个其他可选属性组成,用于控制Cookie的有效性、安全性和使用范围。

不同域名下的Cookies是相互独立的。每当客户端发出请求时,当前域名下所有未过期的cookies都会自动一起发送到服务器。

cookie的几个特征:

自动发送

域名独立性

到期时间限制

4kb限制

Cookie 在身份认证中的作用

当客户端第一次向服务器请求时,服务器以响应头的形式向客户端发送认证Cookie,客户端会自动将Cookie保存在浏览器中。

然后,每次客户端浏览器向服务器请求时,浏览器会自动将与认证相关的Cookie以请求头的形式发送给服务器,服务器可以验证客户端的身份。

vibsgtiefwg3019.png

Cookie 不具有安全性

cookie存储在浏览器中,浏览器还提供了读写cookie的API,所以cookie很容易被伪造,不安全。因此,不建议服务器以Cookie的形式向浏览器发送重要的隐私数据。

o25frejsetp3020.png

注意:永远不要使用Cookie来存储重要的和私有的数据!例如用户的身份信息、密码等。

提高身份认证的安全性

为了防止顾客伪造会员卡,收银员拿到顾客出示的会员卡后,可以在收银台对卡进行认证。只有收银机确认的会员卡才能正常使用。

s22cpvhppmg3021.png

这种“信用卡认证”的设计理念是Session 认证机制.的精髓

Session的工作原理

2rljxmpf1z43022.png

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now