默认| 感谢分享 |
引用:elan 发表于 2019-11-25 18:19 嗯嗯 |
| 一定要喝 http://www.52im.net/thread-1686-1-1.html 这篇一起看 |
|
几个疑问, 1 如果把token存在cookie里是不是就相当于session?还是说session带有更多user状态信息?token只能凭借token里的userid去执行业务代码?sessionid和浏览器编号是啥关系? 2 token如何避免重放攻击?除非本地生成唯一id和token一起上传并要求服务器算法校验,否则我把token放到其他的http client上发起请求不是一样可以? 3 token是应该和客户端绑定吗?比如用户从不同的设备登录生成不同的token,有些产品会让其他token失效,有些可以共存,这个问题怎么看待? |
引用:integrity 发表于 2018-08-21 16:51 安全这个东西99.99%的时候没有任何问题,就怕那%0.01的情况被人钻空子 |
| 伪造成功的概率比坐在家里编程时被邻居家的狗突然闯入并咬死的几率还低。 确实低 哈哈 |
| 不错哦 |
| 赞 |
|
刚工作那会,被Session这些概念搞的灰头土脸, 谢谢群主的总结和分享,收藏了  |
| 现在都要追求微服务,session这种东西应该很少用了,尤其分布式系统里都是用token比较多..... 看看那些第3方API接口,包括微信公众号、小程序,都是这样实现的。所以token是个好东西,无状态、客户端使用简单、服务端微服务的身份认证也变的简单了 |
Copyright © 2014-2024 即时通讯网 - 即时通讯开发者社区 / 版本 V4.4
苏州网际时代信息科技有限公司 (苏ICP备16005070号-1)
首页
组图打开中,请稍候......
收藏
支持
反对