工作階段
→Session
工作階段 (電腦科學) - 維基百科,自由的百科全書
Session和Cookie
2025-01-17 クッキーとセッションを雰囲気で使っているエンジニアが、違いを説明できるようになる記事
HTTP是無狀態協定
Cookie
下次發送請求時附帶的資料
連線劫持
Session
改為讓cookie儲存與伺服器上管理的資料連結的session ID,而非原始資料
session ID難以被篡改或隨機存取,但仍有泄漏的可能性
對策:HTTPS、Secure flag/HttpOnly flag、CSRF對策
Session和Token
https://www.youtube.com/watch?v=UBUNrFtufWo
Fireship
Session
1. 使用者傳送登入表單
2. 伺服器儲存session/工作階段
3. 瀏覽器儲存session ID在Cookie中
4. 瀏覽器在未來的請求中夾帶Cookie
容易受到CSRF攻擊
需要儲存session ID在伺服器的資料庫或記憶體,可能造成瓶頸
由伺服器管理
Token
1. 使用者傳送登入表單
2. 伺服器建立JWT
3. 瀏覽器儲存JWT在本地空間
4. 瀏覽器在未來的請求中夾帶簽署過的JWT標頭
以bearer為字首
伺服器只需驗證簽名,不需要在基礎建設的其他地方進行搜尋
但仍然可能遭到攻擊者挾持,且難以無效化、無法在伺服器端驗證身份
由客戶端管理
電腦科學
Google
https://myaccount.google.com/device-activity
GitHub
https://github.com/settings/sessions
Microsoft
https://account.microsoft.com/devices
X.com
https://x.com/settings/sessions
Facebook
https://accountscenter.facebook.com/password_and_security
NicoNico動畫
https://account.nicovideo.jp/my/history/login
Steam
https://store.steampowered.com/account/authorizeddevices
Pixiv
https://accounts.pixiv.net/security-history