基于cookie的身份验证是如何工作的?
有人能给我一个逐步描述如何基于cookie的身份验证工作吗?我从来没有做过任何涉及身份验证或cookie的事情。浏览器需要做什么?服务器需要做什么?按什么顺序?我们怎么保证东西安全?
共有1个答案
cookie基本上只是字典中的一个条目。每个项目都有一个键和一个值。对于身份验证,密钥可以是类似于'username'的东西,而值将是用户名。每次向网站发出请求时,浏览器将在请求中包含Cookie,主机服务器将检查Cookie。所以身份验证可以像那样自动完成。
要设置cookie,您只需将其添加到服务器在请求后发回的响应中。然后,浏览器将在收到响应时添加cookie。
您可以为cookie服务器端配置不同的选项,如过期时间或加密。加密的cookie通常称为签名cookie。基本上,服务器对字典项中的密钥和值进行加密,因此只有服务器才能利用这些信息。这样cookie就安全了。
浏览器将保存服务器设置的cookie。在浏览器向该服务器发出的每个请求的HTTP头中,它将添加cookie。它将只为设置cookie的域添加cookie。example.com可以设置cookie并在HTTP头中添加选项,以便浏览器将cookie发送回子域,如sub.example.com。浏览器将cookie发送到不同的域是不可接受的。
-
问题内容: 我正在使用sencha touch,HTML5和phonegap作为包装的移动Web应用程序。 我正在使用PHP身份验证(Cookie)和ajax请求。一切都可以在Safari或chrome上正常运行,但是在通过phonegap(webview)进行部署后,它不再起作用了… 任何帮助,将不胜感激 :) 一些更多的细节: 我的应用程序的所有数据都通过ajax请求加载到服务器组件“ mob
-
我读了一些关于“JWT vs Cookie”的帖子,但它们只会让我更加困惑…… > 我想澄清一下,当人们谈论“基于令牌的身份验证与cookie”时,这里的cookie仅指会话cookie?我的理解是,cookie就像一个介质,它可以用来实现基于令牌的身份验证(在客户端存储可以识别登录用户的东西)或者基于会话的身份验证(在客户端存储与服务器端会话信息匹配的常量) 为什么我们需要JSON web令牌?
-
所以我正忙着为twitter开发一个应用程序,我希望人们使用PIN进行身份验证。(https://dev.twitter.com/oauth/pin-based). 要向人们显示PIN码,我需要使用以下命令:https://dev.twitter.com/oauth/reference/get/oauth/authorize 那里的例子说:https://api.twitter.com/oauth
-
我正在Spring Boot应用程序中学习Spring Security性,我试图了解默认情况下使用Spring Security性的身份验证方式。我知道Spring Security默认情况下使用基于表单的身份验证,但我使用基本身份验证对Postman进行了测试,结果正常。 我有一个非常简单的Spring Boot应用程序。 Rest控制器: 我在pom中添加了Spring Security依赖
-
我已经通过 RMI 实现了用于 JMX 身份验证的 ,但是我不确定如何创建角色以允许只读/读写访问级别。例如,在中,我有我的自定义身份验证逻辑,并希望它来确定访问角色。我已经尝试了以下内容,但在JConsole中执行操作时没有区别: 然后我创建了一个访问文件,,包含 和< code > JMX . management . properties ,其中包含< code > com . sun .
-
问题内容: 我在glassfish服务器上使用了gwt,并且尝试通过cookie对我的某些RPC调用进行身份验证。这可能吗?有没有关于如何编码的示例? 问题答案: 仅依靠cookie进行身份验证将使您的网站/服务容易受到跨站点请求伪造/ XSRF / CSRF攻击- 有关GWT应用程序安全性的更多信息,请阅读。 最好的方法是再次检查从cookie以及通过其他方式(作为请求的一部分(标头,自定义字段