Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

《深入分析Java Web技术内幕》中关于Cookie #35

Open
adar-v opened this issue Dec 16, 2018 · 1 comment
Open

《深入分析Java Web技术内幕》中关于Cookie #35

adar-v opened this issue Dec 16, 2018 · 1 comment

Comments

@adar-v
Copy link

adar-v commented Dec 16, 2018

No description provided.

@adar-v
Copy link
Author

adar-v commented Dec 16, 2018

在书中280页

除此之外,该框架还能处理Cookie被盗取的问题,如你的密码没有丢失,但是你的账号却又可能被别人登录的情况,这种情况很可能就是因为你登录成功后,你的Cookie被别人盗取了,盗取你的Cookie的人将你的Cookie假如到他的浏览器,然后他就可以通过你的Cookie正常访问你的个人信息了,这是一个非常严重的问题。在这个框架中我们就可以设置一个Session签名,当用户登录成功后我们根据用户的私密信息生产的一个签名,以表示当前这个唯一的合法登录状态,然后将这个签名作为一个Cookie在当前这个用户的浏览器进程中和服务器传递,用户每次访问服务器都会检查这个签名和服务器分布式缓存中取得的Session重新生成的签名是否一致,如果不一致,则显然这个用户的登录状态不合法,服务端将清除这个sessionID在分布式缓存中的Session信息,让用户重新登录。

这里关于私密信息,指的是用户的浏览器个性化信息(版本,型号等) 么? 还是用户存储在后端中的个人信息,倘若是存储在后端中的个人信息,既然都是通过传递的Cookie获取的个人信息,本人和模拟者对后端来说的标识Cookie相同,后端会认为是同一个人吧?

这里不是特别理解。望赐教。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@adar-v