暴力破解补充:空的认证信息对应空验证码

暴力破解补充:空的认证信息对应空验证码

一、身份认证过程

服务器通过session id来判断用户

第一次访问时,服务器会给客户端一个cookie,cookie中包含着session id

用户再次登录时,会带着session id和验证码code去请求

服务器会把发送来的session id取出,到session表中查找,因为之前访问过,所以session表中存有访问的信息,然后对比发送的验证码与存储的验证码是否相等

二、空的认证信息对应空验证码

若提交的请求没有session,也不提交验证码,都为空

此时服务器依然会去找用户,但是找的是session id为空的用户,并且能在session表中找到空

然后对比用户输入的验证码和存储的验证码是否相等,而空的用户对应的验证码也为空,那么空等于空,则通过验证

posted @ 2023-01-25 17:15  佐迦  阅读(35)  评论(0编辑  收藏  举报