yaclty/Java-Interview-Guide
1
0
Fork 0
mirror of https://github.com/Snailclimb/JavaGuide synced 2025-06-20 22:17:09 +08:00
Code Issues Projects Releases Wiki Activity

Merge pull request #2164 from chenxiaochuan1234/patch-7

Browse Source 
Update basis-of-authority-certification.md
This commit is contained in:
Guide 2023-09-12 19:05:31 +08:00 committed by GitHub
commit e0f4eaedd9
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 2 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
docs/system-design/security/basis-of-authority-certification.md
View File

@ -176,7 +176,7 @@ Session-Cookie 方案在单体环境是一个非常好的身份认证方案。
一般是通过 `Cookie` 来保存 `SessionID` ,假如你使用了 `Cookie` 保存 `SessionID` 的方案的话, 如果客户端禁用了 `Cookie`,那么 `Session` 就无法正常工作。 一般是通过 `Cookie` 来保存 `SessionID` ,假如你使用了 `Cookie` 保存 `SessionID` 的方案的话, 如果客户端禁用了 `Cookie`,那么 `Session` 就无法正常工作。
但是,并不是没有 `Cookie` 之后就不能用 `Session` 了,比如你可以将 `SessionID` 放在请求的 `url` 里面`https://javaguide.cn/?Session_id=xxx` 。这种方案的话可行,但是安全性和用户体验感降低。当然,为了你也可以对 `SessionID` 进行一次加密之后再传入后端。 但是,并不是没有 `Cookie` 之后就不能用 `Session` 了,比如你可以将 `SessionID` 放在请求的 `url` 里面`https://javaguide.cn/?Session_id=xxx` 。这种方案的话可行,但是安全性和用户体验感降低。当然,为了安全你也可以对 `SessionID` 进行一次加密之后再传入后端。
## 为什么 Cookie 无法防止 CSRF 攻击,而 Token 可以? ## 为什么 Cookie 无法防止 CSRF 攻击,而 Token 可以?