session与token有什么区别?要成为优秀的网络安全工程师,需要掌握扎实的网络安全技能。session和token均是网络协议相关知识点,是网络安全工程师需要了解的基本内容。随着互联网技术的发展,很多人看好网络安全关阔的市场前景,纷纷开始学习网络安全技术。那么对于基础内容,session与token有什么区别?
session与token有什么区别?
session和oauth token并不矛盾。token安全性比session好,因为每个请求都有签名,还能防止监听以及重放攻击,而session就必须靠链路层来保障通讯安全了。
Session是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓Session认证只是简单的把User信息存储到Session里,因为SID的不可预测性,暂且认为是安全的。这是一种认证手段。
而Token,如果指的是OAuth Token或类似的机制的话,提供的是认证和授权,认证是针对用户,授权是针对App。其目的是让某App有权利访问某用户的信息。这里的Token是唯一的。不可以转移到其它App上,也不可以转到其它用户上。Session只提供一种简单的认证,即有此SID,即认为有此User的全部权利。是需要严格保密的,这个数据应该只保存在站方,不应该共享给其它网站或者第三方App。
阅读(762) | 评论(0) | 转发(0) |
