标签: web-services http security https webserver
如果典型的Web服务器通过Session-ID(存储在cookie中)确定用户 - 是什么阻止我从另一个知己用户替换Session-ID,这样我可以做一些经过身份验证/授权的用户?有没有其他机制来确定真正的会话?
答案 0 :(得分:0)
会话ID通常是一个安全的生成令牌,在一段时间后过期 所以,是的,如果您从其他用户那里获得令牌,您可以冒充他。
实际上,猜测这个令牌比猜测用户密码要困难得多。而且你只有很短的时间框架,然后令牌到期。