Answers:
Cookie基本上只是字典中的一项。每个项目都有一个键和一个值。对于身份验证,密钥可以是“用户名”之类的值,而值则是用户名。每次您向网站提出请求时,浏览器都会在请求中包含cookie,并且主机服务器将检查cookie。因此,可以像这样自动完成身份验证。
要设置cookie,只需将其添加到服务器在请求后发回的响应中。然后,浏览器将在收到响应后添加cookie。
您可以为Cookie服务器端配置不同的选项,例如到期时间或加密。加密的cookie通常称为签名的cookie。基本上,服务器会对字典项中的键和值进行加密,因此只有服务器可以使用该信息。因此,cookie将很安全。
浏览器将保存服务器设置的cookie。在浏览器对该服务器发出的每个请求的HTTP标头中,它将添加cookie。它只会为设置它们的域添加cookie。Example.com可以设置cookie,还可以在HTTP标头中添加选项,以供浏览器将cookie发送回子域,例如sub.example.com。浏览器曾经将cookie发送到另一个域是不可接受的。
我意识到这已经晚了几年,但我认为我可以扩展Conor的答案,并在讨论中增加更多内容。
有人可以逐步介绍基于Cookie的身份验证的工作方式吗?我从未做过涉及身份验证或Cookie的任何事情。浏览器需要做什么?服务器需要做什么?以什么顺序?我们如何确保事物安全?
步骤1:客户>注册
在此之前,用户必须先注册。客户端将包含他/她的用户名和密码的HTTP请求发布到服务器。
第2步:服务器>处理注册
服务器收到此请求并在将用户名和密码存储在数据库中之前对密码进行哈希处理。这样,如果某人获得了对您数据库的访问权限,他们将看不到您用户的实际密码。
步骤3:客户端>用户登录
现在,您的用户登录。他/她提供了用户名/密码,然后再次将其作为HTTP请求发布到服务器。
步骤4:服务器>验证登录
服务器在数据库中查找用户名,对提供的登录密码进行哈希处理,并将其与数据库中以前的哈希密码进行比较。如果未检出,我们可以通过发送401状态代码并结束请求来拒绝他们的访问。
步骤5:服务器>生成访问令牌
如果一切都完成了,我们将创建一个访问令牌,该令牌唯一地标识用户的会话。仍然在服务器中,我们使用访问令牌执行两件事:
此后,cookie将被附加到客户端和服务器之间的每个请求(和响应)。
第6步:客户端>发出页面请求
回到客户端,我们现在已经登录。每次客户端请求一个需要授权的页面(即他们需要登录)时,服务器都会从cookie中获取访问令牌,并对照其中的一个进行检查。在与该用户关联的数据库中。如果签出,则授予访问权限。
这应该使您入门。确保注销后清除cookie!
基于Cookie的身份验证
基于Cookie的身份验证在以下4个步骤中正常工作:
浏览器将在每个后续请求上提交此会话ID,并根据数据库验证该会话ID,基于该会话ID,网站将识别属于哪个客户端的会话,然后给予访问请求。
用户注销应用程序后,会话将在客户端和服务器端被销毁。