有人能给我一个基于cookie的身份验证工作原理的逐步描述吗?我从来没有做过任何涉及身份验证或cookie的事情。浏览器需要做什么?服务器需要做什么?按什么顺序?我们如何保证事物的安全?
我一直在阅读关于不同类型的身份验证和cookies的文章,但我想要一个如何将两者结合使用的基本描述-我只读到它们经常一起使用,但找不到如何使用的描述。
发布于 2013-07-21 12:30:51
cookie基本上只是字典中的一项。每一项都有一个键和一个值。对于身份验证,密钥可以是类似于“username”的内容,值可以是username。每次您向网站发出请求时,您的浏览器将在请求中包含cookie,并且主机服务器将检查cookie。因此,身份验证可以像这样自动完成。
要设置cookie,您只需将其添加到服务器在请求后返回的响应中。然后,浏览器将在接收到响应时添加cookie。
您可以为cookie服务器端配置不同的选项,如过期时间或加密。加密的cookie通常称为签名cookie。基本上,服务器对字典项中的密钥和值进行加密,因此只有服务器可以使用这些信息。这样cookie就安全了。
浏览器将保存服务器设置的cookie。在浏览器向该服务器发出的每个请求的HTTP标头中,它将添加cookies。它只会为设置cookie的域添加cookie。Example.com可以设置cookie,也可以在HTTP头中为浏览器添加选项,以便将cookie发送回子域,如sub.example.com。浏览器将cookie发送到不同的域是不可接受的。
https://stackoverflow.com/questions/17769011
复制相似问题