最近學(xué)習(xí)過(guò)程中寫(xiě)個(gè)登錄系統(tǒng)，既然是學(xué)習(xí)就想盡量整的麻煩一些。雖然就只有一個(gè)登錄認(rèn)證和自動(dòng)登錄認(rèn)證功能，但是實(shí)現(xiàn)上感覺(jué)具體問(wèn)題還很多，尤<愛(ài)尬聊_健康養(yǎng)生>其就是cookie的安全問(wèn)題。。

我對(duì)網(wǎng)絡(luò)傳輸也不是太了解，半路出家學(xué)的互聯(lián)網(wǎng)，主要疑惑的地方就是請(qǐng)求傳輸中的安全問(wèn)題了，希望大神幫忙回答下。。

我在賬號(hào)密碼登錄認(rèn)證的時(shí)候，是通過(guò)后臺(tái)生成一個(gè)值傳到前臺(tái)，我用的是一個(gè)timestamp，配合賬號(hào)密碼加密，后臺(tái)再用這個(gè)值驗(yàn)證。感覺(jué)這樣既不會(huì)被獲取明文，也不會(huì)被重放了。但是我不知道是不是在實(shí)際中還會(huì)有其他問(wèn)題，如果大神們有這方面經(jīng)驗(yàn)，還請(qǐng)指教一下。

但是自動(dòng)登陸功能上，貌似都是本地用cookie存一個(gè)token，token看了一下可以直接用JWT。但是，用cookie存東西，cookie不是會(huì)自動(dòng)傳輸?shù)拿矗窟@個(gè)也有可能被截取到啊。怎么保證這塊的安全呢？

還有最主要的問(wèn)題，就是拋開(kāi)本地和服務(wù)器的安全問(wèn)題，cookie或者其他傳輸?shù)膱?bào)文信息，一般是怎么在中途被截取的呢？這點(diǎn)希望大神能指點(diǎn)下。。

謝謝了。

---

mi520 2022-07-18 12:14

https://segmentfault.com/search?q=cookie+安全

---