每次请求发送Cookie以识别用户？

Question

我没有理解整个会话管理的事情。

我现在已经实施this来处理登录过程，还有this示例来保护我的服务免受XSRF攻击。

但是现在我想知道了：

• 如果我打开SSL，是否在之前建立了安全连接？这个会话ID（cookie）是否安全？
• 是否保存以在每个请求上发送cookie以识别用户？例如。如果用户想要查看他的 / 她的设置，请确保它不是试图从其他用户检索设置的虚假请求。这清楚我的意思吗？
  我会在每个请求上发送会话ID，将它与我的数据库中的会话ID进行比较，如果请求令牌（XSRF安全）是正常的，我执行请求 - 或者是否有太大的开销？

我仍然不太自信我在这里做的事情是否100％正确，我想确保我不会不必要地违反我已经花费时间的任何安全措施实施

Answer 1

在通过网络发送HTTP请求之前建立SSL或TLS连接，因此请求中的数据已加密。

我不确定我理解你的第二个问题，但很多网络应用程序都使用基于cookie的身份验证来识别用户。由于Cookie会自动发送到网站，因此您必须保护自己免受CSRF攻击。