[英]Security risk in passing session ID/ keys as request parameters
我們正在開發RESTful聊天API和聊天客戶端。 當客戶端發出“初始連接”請求時,我們返回帶有安全密鑰和用戶ID的json響應。 對於后續請求,客戶端應將用戶標識和安全密鑰作為請求參數發送。 請注意,只有登錄用戶和其他組件之間才允許聊天攔截所有請求,並進行身份驗證和授權。
由於多種原因,將安全憑證放在cookie而不是URL中通常被認為是更好的做法。 其中一個原因是URL可能被基礎結構的各個部分(瀏覽器歷史記錄,代理日志,Web服務器日志文件等)記錄,但cookie通常不會以這種方式捕獲和存儲。
使用存儲在會話中的用戶ID進行身份驗證 - 安全風險/不良做法?
[英]Authentification using a user id stored in the session - security risk / bad practice?
會話ID會隨着IE瀏覽器中https和Spring Security的每個請求而不斷變化
[英]Session id keeps changing for every request with https and spring security in IE browser
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
