我注意到在我在许多网站上进行身份验证后,例如在Facebook或Twitter中,我记录了很长时间,超过2-3个月,也许是一年。
所以,我的问题是,这是安全的吗?或者也许他们会以某种方式随着时间改变会话ID?
答案 0 :(得分:0)
某些网站使用包含会话数据的会话cookie,该会话数据通过仅在后端可见的密钥进行大量加密。其他一些网站使用令牌,因此基本上您可以使用访问令牌访问您的内容,该令牌仅在短期内有效。然后你获得了长期有效刷新短期访问令牌的刷新令牌,这些令牌不是也不应该存储为cookie而是存储为localstorage项目,因为cookie可以通过跨站点javascript和localstorage轻松获得仅适用于当前网站。