ChenXiaochuan
GitHub
parent
8739559a36
commit
d2da8bff81
|
|
@ -176,7 +176,7 @@ Session-Cookie 方案在单体环境是一个非常好的身份认证方案。
|
|||
|
||||
一般是通过 `Cookie` 来保存 `SessionID` ,假如你使用了 `Cookie` 保存 `SessionID` 的方案的话, 如果客户端禁用了 `Cookie`,那么 `Session` 就无法正常工作。
|
||||
|
||||
但是,并不是没有 `Cookie` 之后就不能用 `Session` 了,比如你可以将 `SessionID` 放在请求的 `url` 里面`https://javaguide.cn/?Session_id=xxx` 。这种方案的话可行,但是安全性和用户体验感降低。当然,为了你也可以对 `SessionID` 进行一次加密之后再传入后端。
|
||||
但是,并不是没有 `Cookie` 之后就不能用 `Session` 了,比如你可以将 `SessionID` 放在请求的 `url` 里面`https://javaguide.cn/?Session_id=xxx` 。这种方案的话可行,但是安全性和用户体验感降低。当然,为了安全你也可以对 `SessionID` 进行一次加密之后再传入后端。
|
||||
|
||||
## 为什么 Cookie 无法防止 CSRF 攻击,而 Token 可以?
|
||||
|
||||
|
|
@ -255,4 +255,4 @@ OAuth 2.0 比较常用的场景就是第三方登录,当你的网站接入了
|
|||
- Introduction to JSON Web Tokens:https://jwt.io/introduction
|
||||
- JSON Web Token Claims:https://auth0.com/docs/secure/tokens/json-web-tokens/json-web-token-claims
|
||||
|
||||
<!-- @include: @article-footer.snippet.md -->
|
||||
<!-- @include: @article-footer.snippet.md -->
|
||||
|
|
|
|||
Loading…
Reference in New Issue