暴力破解补充:空的认证信息对应空验证码
暴力破解补充:空的认证信息对应空验证码
一、身份认证过程
服务器通过session id来判断用户
第一次访问时,服务器会给客户端一个cookie,cookie中包含着session id
用户再次登录时,会带着session id和验证码code去请求
服务器会把发送来的session id取出,到session表中查找,因为之前访问过,所以session表中存有访问的信息,然后对比发送的验证码与存储的验证码是否相等
二、空的认证信息对应空验证码
若提交的请求没有session,也不提交验证码,都为空
此时服务器依然会去找用户,但是找的是session id为空的用户,并且能在session表中找到空
然后对比用户输入的验证码和存储的验证码是否相等,而空的用户对应的验证码也为空,那么空等于空,则通过验证
