Насколько я знаю, после этапа _файла, когда пользователь отправил свое имя пользователя и пароль на сервер, используя базовую аутентификацию через https, сервер отправит sessionId клиенту , и после этого клиент использует этот sessionId для каждого последующего запроса.Аутентификация на основе сеанса
- Мой вопрос здесь, как может SESSIONID может быть обеспечена для каждого запроса, так что она не может быть взломан хакером? потому что sessionId отправляется как cookie (формирует сервер после отправки имени пользователя и пароля) и может быть легко (, насколько я знаю, если я прав) подслушивается.
- Мой второй вопрос заключается в понимании различия между аутентификацией на основе токенов и аутентификацией на основе sessionId. Я прочитал много объяснений разницы между ними, но мне трудно понять это.
лучшие рагеры.
Хорошее объяснение, но если мы используем протокол HTTP, обычно будут угрозы безопасности, а sessionId может быть захвачен не так ли? что касается разницы между токен-базой и аутентификацией на основе сеанса, это очень ясно сейчас, и, похоже, именно это мне нужно знать, потому что это основное различие между ними, поэтому спасибо за это. Не могли бы вы ответить на мой первый вопрос? – TheBlack
1) Вы пометили свой вопрос HTTPS, а не HTTP, да, через HTTP его реально просто получить контроль над сеансом путем прослушивания при отсутствии других мер безопасности. 2) Сессия может быть захвачена через SSL, но не только путем прослушивания. – symcbean
В case https with with cookie отключен sessionId будет передан в перезаписи URL будет использоваться, и в этом случае sessionId будет виден даже при использовании https. Что ты об этом думаешь ? – TheBlack