我正在尝试了解如何在网站上进行身份验证。我不是要求代码,我试图理解这个概念。当用户第一次访问网站时,他/她登录并且我的服务器对其进行身份验证。但是当用户移动到下一页时,由于http
是无状态的,服务器如何知道当前用户是否已登录?
我想到了几种方法,如下所示,但我不相信它们会完美无缺地运作。对于插件来说,它们可能效率也不高。
userid/password
- 设计非常糟糕,因为用户名/密码可能被黑客入侵!cookies
- 它有一个缺陷,用户可以将cookie发送给他/她的朋友,然后我的服务器将处于模糊状态:| 是否有更好的方法可以在后续请求中对用户进行身份验证?
注意:我不允许使用https
协议,因为它比http
慢,并且有一些商业原因。
答案 0 :(得分:0)
您可以使用一个令牌来保存会话应该存在多长时间。并且该令牌将随每个请求(您想要使用它)一起发送并被验证@ server。
我认为关于令牌的好帖子就是这个:What is token based authentication?