现在还有用 cookies 吗

2020-07-22 12:14:49 +08:00
 pabno

接手公司的老项目,很多安全和身份相关的功能都是用 cookies 实现的。这玩意儿感觉既不好测试又不安全,以往都是使用 token 来做的身份安全相关

不知道现在在 web 端主流是用 cookies 还是 token ?

11439 次点击
所在节点    程序员
104 条回复
poic
2020-07-22 12:16:50 +08:00
你不存 token ?
monsterxx03
2020-07-22 12:18:14 +08:00
所以你 web 上 token 存哪的?
lxk11153
2020-07-22 12:19:27 +08:00
cookies 哪里不安全?
ChanKc
2020-07-22 12:20:44 +08:00
我宁愿用 Cookie 。现有的库,包,整个的机制都很完善了,现成方案多,工作量少
lxk11153
2020-07-22 12:21:17 +08:00
fix #3 弱弱问下: cookies 哪里不安全?
imnpc
2020-07-22 12:22:07 +08:00
session + cookies 里面难道没带安全验证吗?
token 的一般用在前后端分离的多
beldon
2020-07-22 12:22:39 +08:00
token 就一定安全了?
chendy
2020-07-22 12:22:52 +08:00
cookie 哪里不安全?
cookie 的优点是浏览器自动处理,缺点是只能在浏览器里用,哪里有什么安全问题?
imdong
2020-07-22 12:25:55 +08:00
不应该很多都是 session 的方式?

然后 session_id / token 使用 cookies 或者 其他方式 存起来而已。

但是依然有将一些 加密后的数据使用 cookie 存在客户端。
GM
2020-07-22 12:25:57 +08:00
因为 cookies 里存 sessionId 不安全,所以我选择了 cookieless 方案,把 sessionId 放在 url 上了,这下安全多了

骄傲的狗脸.jpg
sunjourney
2020-07-22 12:27:45 +08:00
你的应用都是单页的?你的 token 放哪?你的图片鉴权是怎么做的?
sunjourney
2020-07-22 12:31:31 +08:00
为啥全 token 和 cookie 对比?你喜欢吃苹果还是饼干?
ChanKc
2020-07-22 12:31:39 +08:00
@sunjourney 我猜是 custom HTTP header,请求得到的图片的 base64 什么的再用 blob 吧
sunjourney
2020-07-22 12:32:53 +08:00
@ChanKc #13 那也是很厉害了,expiration 、cache 啥的自己实现一套?看来题主是个大佬
reus
2020-07-22 12:32:56 +08:00
token 就是存 cookie 里的
连这都不知道,都可以做那么多年开发,可见这行门槛之低
HUALIAN
2020-07-22 12:33:16 +08:00
阿里京东腾讯都用 cookie,安全得很
ChanKc
2020-07-22 12:33:49 +08:00
@sunjourney 是的
ChanKc
2020-07-22 12:34:52 +08:00
@sunjourney 手头上有个项目就因为这么一套搞得有个 expiration 的 bug…
renmu123
2020-07-22 12:36:53 +08:00
其实 cookie 应该比 token 安全,起码 token 没办法原生实现失效
sunjourney
2020-07-22 12:37:45 +08:00
@ChanKc #18 gzip 啥的呢,如果是大图,体验怎么样?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/692155

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX