我见过一些网站,您的身份验证确实会在您的IP更改后过期。如何创建这样的会话,它有多安全?
答案 0 :(得分:0)
那么,会话如何验证呢?通过一些硬件信息?
您有会话cookie的事实是验证。
会话通过创建具有 随机ID 的服务器端资源来工作。例如,创建随机ID {{1}},并在其中保存数据库中的条目。该随机ID作为cookie发送到浏览器。浏览器会在每次请求时返回此cookie,服务器会使用此ID查找数据库条目并获取关联的会话数据。
"验证"是浏览器拥有有效的会话ID。浏览器只能知道此ID是否由服务器先前提供给它。因为id是完全随机的,所以任何第三方都应该是不可能的。
话虽如此, cookie劫持是一个问题,其中第三方彻底窃取有效的会话cookie(例如通过共享网络,安装在受害者机器上的恶意软件等)。 )。在这种情况下,在会话中记录客户端的IP地址并进行验证可以帮助缓解问题;但正如您所指出的,这也意味着会话的寿命非常有限。避免会话劫持的最实用的解决方案是始终使用HTTPS。