浏览器关闭后保持会话

Question

如何安全地实现维护会话。假设只有登录页面使用 SSL。因此，用户输入他的用户名密码，http 服务器会验证它是否在数据库中，然后怎么办？

它设置了一些cookie吗？如果是这样，那么应该将 cookie 设置为什么以维护安全性（加密，哪种加密）？寻找低级详细答案。我听说存在各种 cookie 劫持问题。如果我只使用 SSL 进行登录，但此后不使用 SSL，cookie 是否会容易受到攻击？

那么当浏览器关闭、用户回来后，​​cookie是如何识别用户名的呢？如何安全地完成此操作而不导致 cookie 被盗？

Answer 1

如果您的连接没有始终加密，您肯定就会使您的客户端面临会话被盗的风险。

HTTP 是无状态协议，因此伪造有状态交互的唯一方法是客户端和服务器在每次事务中发送会话标识符。如果不加以保护，它很可能会被盗。由于会话标识符是开放会话期间唯一的身份验证令牌，因此这是灾难性的。

实现“记住我”功能的通常方法是设置一个 cookie，其生命周期不限于浏览器的程序生命周期（即通过设置明确的到期日期），并在 cookie 中存储一些唯一的数据，您可以将这些数据与某些数据相匹配。记住数据库中的数据（可能包括 IP）。但这并不能免除您对所有通信进行加密的需要！