-2
我已經看到一些網站,您的身份驗證確實在您的IP更改後過期。如何創建這樣的會話,以及它有多安全?有沒有什麼辦法可以創建ip獨立的http會話?
我已經看到一些網站,您的身份驗證確實在您的IP更改後過期。如何創建這樣的會話,以及它有多安全?有沒有什麼辦法可以創建ip獨立的http會話?
那麼,會話如何驗證呢?由一些硬件信息?
事實上,你有一個會話cookie是驗證。
會議通過了隨機ID創建服務器端資源的工作。例如,創建一個隨機ID iuwehrc3948hg3w09x4h
,並將數據庫中的條目與其一起保存。該隨機ID作爲cookie發送到瀏覽器。瀏覽器在每次請求時都返回這個cookie,服務器用這個id查找數據庫條目並獲取關聯的會話數據。
「驗證」是瀏覽器擁有一個有效的會話ID。瀏覽器只能知道這個ID,如果它是由服務器先前給它的。因爲id完全是隨機的,所以任何第三方實際上都應該是不可推測的。
話雖如此,cookie劫持是一個擔心,其中第三方徹底竊取有效的會話cookie(例如通過共享網絡,安裝在受害者機器上的惡意軟件等)。在這種情況下,在會話中記錄客戶端的IP地址並驗證它可以幫助緩解問題;但正如您所注意的那樣,這也意味着會話的壽命極其有限。避免會話劫持的最實際的解決方案是始終使用HTTPS。
「HTTP會話」不存在;你只是指*會話*,如*會話cookie *?他們很容易做到,默認情況下他們根本不依賴於IP。 – deceze
那麼,會話如何驗證呢?由一些硬件信息? – TEXHIK