据我所知,我们使用SSL加密敏感数据(如用户名和密码)以传输到服务器,而无需网络中的人进行窃听。因此,服务器通过HTTPS返回一个安全令牌,并将其存储在cookie中。我们在拥有安全令牌后切换到HTTP,我们将cookie /安全令牌标头附加到每个HTTP请求。
现在任何人都可以看到我的安全令牌,他们可以窃听它并冒充我。我的理解是否正确?
答案 0 :(得分:5)
可以根据协议设置cookie,以便HTTPS不使用HTTPS cookie,反之亦然。此外,正确构造的安全令牌应包括IP地址并具有较短的到期时间。
但总的来说,最好的想法当然是将经过身份验证的会话保持在安全通道中 - 这些天SSL并不是那么重量级(因为计算机变得比首次引入SSL时快得多)而且最重要的部分是握手,如果使用持久HTTP连接(或使用SSL会话恢复时),则仅执行一次。