使用客户端传递给服务器的 JSessionId 对用户进行身份验证是否安全?
假设在 Spring 应用程序中,我们将登录时提供正确凭据的用户的 jsession id 存储在数据库中,并根据该 jsession id 对每个后续请求进行身份验证。
此方法是否提供与使用 Java Web 令牌相同的安全级别?
JWT 令牌经过加密签名,因此与会话 ID 相比,它们更难以伪造。
会话 ID 是使用安全随机数生成器生成的,该生成器可以根据实现进行预测。
https://news.netcraft.com/archives/2003/01/01/security_advisory_2001011_predictable_session_ids.html
可以在此处找到有关为什么 JWT 优于会话 ID 的更多信息:
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句