Authentication 服务器如何验证基于会话的cookie是真实的?
我试图理解来自客户端的基于会话的cookie是如何被服务器验证的。对于上下文,这是我的高级理解: 对于身份验证,我知道有两种方法,会话和令牌 令牌身份验证通常是使用私钥签名的JWT。使用此密钥,服务器可以验证用户ID(或任何内容)是否真实 对于基于会话的,当用户登录时,将在服务器上创建一个唯一ID,并将其传递给客户端,并作为cookie存储。然后,对于来自客户端的每个请求,cookie都是标头的一部分,服务器可以查找ID以了解客户端是谁Authentication 服务器如何验证基于会话的cookie是真实的?,authentication,cookies,Authentication,Cookies,我试图理解来自客户端的基于会话的cookie是如何被服务器验证的。对于上下文,这是我的高级理解: 对于身份验证,我知道有两种方法,会话和令牌 令牌身份验证通常是使用私钥签名的JWT。使用此密钥,服务器可以验证用户ID(或任何内容)是否真实 对于基于会话的,当用户登录时,将在服务器上创建一个唯一ID,并将其传递给客户端,并作为cookie存储。然后,对于来自客户端的每个请求,cookie都是标头的一部分,服务器可以查找ID以了解客户端是谁 我的问题是服务器如何知道这个ID是真实的?恶意客户端是否可
我的问题是服务器如何知道这个ID是真实的?恶意客户端是否可以使用不同的ID试试运气,直到其中一个ID起作用?我相信,答案是: 简而言之->有一个记录,记录哪个用户和哪个会话密钥