Open adar-v opened 5 years ago
在书中280页
除此之外,该框架还能处理Cookie被盗取的问题,如你的密码没有丢失,但是你的账号却又可能被别人登录的情况,这种情况很可能就是因为你登录成功后,你的Cookie被别人盗取了,盗取你的Cookie的人将你的Cookie假如到他的浏览器,然后他就可以通过你的Cookie正常访问你的个人信息了,这是一个非常严重的问题。在这个框架中我们就可以设置一个Session签名,当用户登录成功后我们根据用户的私密信息生产的一个签名,以表示当前这个唯一的合法登录状态,然后将这个签名作为一个Cookie在当前这个用户的浏览器进程中和服务器传递,用户每次访问服务器都会检查这个签名和服务器分布式缓存中取得的Session重新生成的签名是否一致,如果不一致,则显然这个用户的登录状态不合法,服务端将清除这个sessionID在分布式缓存中的Session信息,让用户重新登录。
这里关于私密信息,指的是用户的浏览器个性化信息(版本,型号等) 么? 还是用户存储在后端中的个人信息,倘若是存储在后端中的个人信息,既然都是通过传递的Cookie获取的个人信息,本人和模拟者对后端来说的标识Cookie相同,后端会认为是同一个人吧?
这里不是特别理解。望赐教。
在书中280页
这里关于私密信息,指的是用户的浏览器个性化信息(版本,型号等) 么? 还是用户存储在后端中的个人信息,倘若是存储在后端中的个人信息,既然都是通过传递的Cookie获取的个人信息,本人和模拟者对后端来说的标识Cookie相同,后端会认为是同一个人吧?
这里不是特别理解。望赐教。