如何使用 SSL 和 SSL饼干有用吗？

Question

据我了解，我们使用 SSL 来加密用户名和密码等敏感数据，以便传输到服务器，而不会被网络中的人员窃听。然后服务器通过 HTTPS 返回一个安全令牌并将其存储在 cookie 中。拥有安全令牌后，我们切换到 HTTP，我们将 cookie/安全令牌标头附加到每个 HTTP 请求。

现在任何人都可以看到我的安全令牌，他们可以窃听它并冒充我。我的理解正确吗？

Answer 1

可以按协议设置 cookie，以便 HTTPS cookie 不会用于 HTTP，反之亦然。此外，正确构建的安全令牌应包含 IP 地址并且具有较短的过期时间。

但总的来说，最好的想法当然是将经过身份验证的会话保持在安全通道中 - 如今 SSL 并不是那么重量级（因为计算机变得比 SSL 首次引入时快得多），而且最重要的部分是握手，仅执行如果使用持久 HTTP 连接（或使用 SSL 会话恢复时），则执行一次。