Web services HTTP会话安全性和会话ID_Web Services_Http_Security_Https_Webserver

Web services HTTP会话安全性和会话ID

web-services http security https

Web services HTTP会话安全性和会话ID,web-services,http,security,https,webserver,Web Services,Http,Security,Https,Webserver,如果典型的web服务器通过会话ID（存储在Cookie中）确定用户，那么是什么阻止我从另一个知己用户处替换会话ID，这样我就可以像一个经过身份验证/授权的用户那样做呢？是否有任何其他机制来确定真正的会话会话ID通常是安全生成的令牌，在一段时间后过期。所以是的，如果你从另一个用户那里得到一个令牌，你可以模拟他事实上，猜测这个令牌比猜测用户密码要困难得多。而且您只有很短的时间来完成此操作，之后令牌将过期。哇，谢谢会话ID通常是安全生成的令牌-您能否提供更多信息（令牌是什么，它是如何传输的，如果

如果典型的web服务器通过会话ID（存储在Cookie中）确定用户，那么是什么阻止我从另一个知己用户处替换会话ID，这样我就可以像一个经过身份验证/授权的用户那样做呢？是否有任何其他机制来确定真正的会话

会话ID通常是安全生成的令牌，在一段时间后过期。
所以是的，如果你从另一个用户那里得到一个令牌，你可以模拟他

事实上，猜测这个令牌比猜测用户密码要困难得多。而且您只有很短的时间来完成此操作，之后令牌将过期。

哇，谢谢

会话ID通常是安全生成的令牌

-您能否提供更多信息（令牌是什么，它是如何传输的，如果它

生成的

，Web服务器如何知道解密它的算法）？或者我自己可以在哪里收集？在这个问题上我是个笨蛋。当然有不同的方法可以做到这一点，但最常见的可能是JWT。你可以在他们的网页上看到