现在主流的安全验证,包括登录后检查当前用户信息 是怎么做的呢我总是感觉通过浏览器发来的一个session确定用户是谁不安全.
比如,这个session值被别人获取到了,然后别人修改自己的浏览器的session也好,或者修改http协议里的session值也好.总之,服务端好像没办法区分.有其他,做法吗
比如,这个session值被别人获取到了,然后别人修改自己的浏览器的session也好,或者修改http协议里的session值也好.总之,服务端好像没办法区分.有其他,做法吗
2.你的项目已经超出了目前互联网能做到的安全范畴。
sessionid是个高级点的cookie,sessionid是针对一次会话的.但是也是和cookie一样,在tcp协议里的一个明文数据.可以被修改. 没研究过https