我读到关于这个论点许多老问题,我认为最好的做法是设置了一个cookie username,user_id并随机令牌.
username
user_id
在创建cookie时,相同cookie的数据存储在DB中,当用户拥有cookie时,它们将被比较(cookie数据,DB数据).
如果这是真正的最佳实践,我真的无法理解安全逻辑在哪里.
窃取cookie的攻击者与原始用户具有相同的cookie:|
忘了一步?:P
security cookies session-cookies
cookies ×1
security ×1
session-cookies ×1