摘要： 今天看到有人写的关于WEB登录验证的内容。 其中谈到安全这一环节，说实话，关于安全，还真的很头痛。 记得很早以前有人使用Cookie保存验证结果。但是Cookie保存在客户端，很容易被获取到，而且也很容易被修改，所以当时Cookie欺骗是很普遍的现象。现在Cookie并不会储存安全性很高的数据，并且数据都会经过加密。 再之后人用Session保存，但是服务器是如何知道客户端使用的是哪个Session呢？其实Session是以SessionID来区分的，而SessionID是保存在浏览器里的，在浏览器关闭时同时被销毁。其实就是一种是不会保存成文件形式的Cookie。既然Cookie，那么就会有办法获取到SessionID，然后的做法和Cookie欺骗是一样的啦。只是这个比Cookie多的就是Session会在服务器端过期，而Cookie不会。 我现在所能想到的安全级别比较高的方法:(仅针对于HTTP，并不适用于HTTPS) 用户在登陆网站时，如果登陆成功，返回新生成公钥，在Session中，放入对应的密钥，并在其中加入一个数值，用来表示在用户成功登陆 阅读全文