每次请求发送Cookie以识别用户?

时间:2015-06-14 21:52:35

标签: security session gwt cookies

我没有理解整个会话管理的事情。

我现在已经实施this来处理登录过程,还有this示例来保护我的服务免受XSRF攻击。

但是现在我想知道了:

  • 如果我打开SSL,是否之前建立了安全连接?这个会话ID(cookie)是否安全?
  • 是否保存以在每个请求上发送cookie以识别用户?例如。如果用户想要查看他的 / 她的设置,请确保它不是试图从其他用户检索设置的虚假请求。这清楚我的意思吗?
    我会在每个请求上发送会话ID,将它与我的数据库中的会话ID进行比较,如果请求令牌(XSRF安全)是正常的,我执行请求 - 或者是否有太大的开销?

我仍然不太自信我在这里做的事情是否100%正确,我想确保我不会不必要地违反我已经花费时间的任何安全措施实施

1 个答案:

答案 0 :(得分:0)

在通过网络发送HTTP请求之前建立SSL或TLS连接,因此请求中的数据已加密。

我不确定我理解你的第二个问题,但很多网络应用程序都使用基于cookie的身份验证来识别用户。由于Cookie会自动发送到网站,因此您必须保护自己免受CSRF攻击。

相关问题
最新问题