token 通常是 用户、时间相关的加密串 判断有效性时,先解密,然后分项处理(比如时间部分加上一个间隔大于当前时间就是有效的) 并不需要在服务端保存任何信息
token 必须使用不同的方式传递,否则就失去了意义 比如 sessio 本身是可以传递用户有效信息的,如果再用 session 传递 token 就多此一举了 此时的 token 应通过 get 或 post 方式传递 另外,token 是临时发放的,只在当前链接中有效
这不能怪你,其实很多人多不知道其中的原因 session 和 cookie 本质是一样的,我们可以用它传递用户有效信息 你现在需要的是防止攻击,所以再用 cookie 传递 token 的话,就起不到防止攻击的效果了 当你用其他方式传递 token 时,那么 token 才可能与 cookie 形成对照,相互验证有效性 也就是,只有两条路线来的数据都合法时,才能认为是合法的
21,887
社区成员
140,363
社区内容
加载中
试试用AI创作助手写篇文章吧