现在还有用 cookies 吗

接手公司的老项目，很多安全和身份相关的功能都是用 cookies 实现的。这玩意儿感觉既不好测试又不安全，以往都是使用 token 来做的身份安全相关

不知道现在在 web 端主流是用 cookies 还是 token ？

monsterxx03

2020-07-22 12:18:14 +08:00

所以你 web 上 token 存哪的?

ChanKc

2020-07-22 12:20:44 +08:00

我宁愿用 Cookie 。现有的库，包，整个的机制都很完善了，现成方案多，工作量少

lxk11153

2020-07-22 12:21:17 +08:00

fix #3 弱弱问下: cookies 哪里不安全？

imnpc

2020-07-22 12:22:07 +08:00

session + cookies 里面难道没带安全验证吗？
token 的一般用在前后端分离的多

chendy

2020-07-22 12:22:52 +08:00

cookie 哪里不安全？
cookie 的优点是浏览器自动处理，缺点是只能在浏览器里用，哪里有什么安全问题？

imdong

2020-07-22 12:25:55 +08:00

不应该很多都是 session 的方式？

然后 session_id / token 使用 cookies 或者其他方式存起来而已。

但是依然有将一些加密后的数据使用 cookie 存在客户端。

2020-07-22 12:25:57 +08:00

因为 cookies 里存 sessionId 不安全，所以我选择了 cookieless 方案，把 sessionId 放在 url 上了，这下安全多了

骄傲的狗脸.jpg

sunjourney

2020-07-22 12:27:45 +08:00

你的应用都是单页的？你的 token 放哪？你的图片鉴权是怎么做的？

sunjourney

2020-07-22 12:31:31 +08:00

为啥全 token 和 cookie 对比？你喜欢吃苹果还是饼干？

ChanKc

2020-07-22 12:31:39 +08:00

@sunjourney 我猜是 custom HTTP header，请求得到的图片的 base64 什么的再用 blob 吧

sunjourney

2020-07-22 12:32:53 +08:00

@ChanKc #13 那也是很厉害了，expiration 、cache 啥的自己实现一套？看来题主是个大佬

reus

2020-07-22 12:32:56 +08:00

token 就是存 cookie 里的
连这都不知道，都可以做那么多年开发，可见这行门槛之低

HUALIAN

2020-07-22 12:33:16 +08:00

阿里京东腾讯都用 cookie，安全得很

ChanKc

2020-07-22 12:34:52 +08:00

@sunjourney 手头上有个项目就因为这么一套搞得有个 expiration 的 bug…

renmu123

2020-07-22 12:36:53 +08:00

其实 cookie 应该比 token 安全，起码 token 没办法原生实现失效

sunjourney

2020-07-22 12:37:45 +08:00

@ChanKc #18 gzip 啥的呢，如果是大图，体验怎么样？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/692155

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.