cookie、session、token
---恢复内容开始---
Token:
一:特点
token的最大特点是随机性、不可预测,软件和黑客一般无法模拟
token一般用在两个地方:一是防止重复提交,二是anti csrf攻击(Cross-site request forgery 跨站点请求伪造)
原理:服务器自动生成token后将token存储在session中,之后将该token发送给客户端(一般通过构造hidden表单)。
防止重复提交:
客户端发送请求给服务器后,服务器会更新该session中的token,当重复提交是,请求带的还是更新前的token,验证就会失败
anti csrf攻击:
客户端发送请求给服务器后,服务器会验证请求中的token和session中存储的token是否匹配
session:
session
原理就是,服务器收到客户端发送到的请求后,在返回请求时,会带一个set-cookies给客户端,set-cookie中带的就是sessionid,主要用于标识身份。
cookie被禁止时的通用做法:
一是将sessionid直接变成参数返回,另外一种是使用hidden表单
cookie:
cookie分为两种,一种存在内存中,一种存在硬盘上,比如记住我等等操作,存在内存中的如果关闭浏览器,则cookie就会失效,比如sessionid
---恢复内容结束---
人不可无方向