session的key保存在cookie里，那么别人那道了cookie里的session key，是不是就可以模仿用户登录了呢？-慕课网

1回答

bobby 2018-10-18 16:46:41

session和token一样，所有的网站都是这样的，只要拿到session就可以模仿你登录，如果这个服务端能破解的话，那所有的爬虫模拟登录将全部失效，所以没有绝对的安全，一般为了解决这个问题会给session加一个过期时间，第二种方式就是将session和ip绑定，只有某个ip的用户拿着这个session才能访问，但是这种对于动态ip的用户来说体验很差，所以一般都只是加一个过期时间，过期了这个session就没用了

1 回复有任何疑惑可以回复我~

收起回答

提问者 CarlShen #1

如果有这种情况，我已经模仿到了session，正好这个session又没过去，那么是不是我就已用户的身份登录了呢？那么这种方法好像无法完全避免。session的过期时间多长时间比较合理呢？

回复有任何疑惑可以回复我~ 2018-10-25 13:51:22

bobby 回复提问者 CarlShen #2

是的，拿到了这个token就证明他可以仿冒你了，过期时间这个问题具体看你的系统数据安全级别有多高了，比如有些要求高的只要退出了当前浏览器就得重新登录

回复有任何疑惑可以回复我~ 2018-10-26 18:08:22

慕码人5330596 回复 bobby #3

这样一来，也就是说，每隔一段时间（session的有效期），如果还想登录，用户就需要再重新输入一次密码，已更新存在服务器端的session。

服务器拿到session后，又会给客户端返回一个session有效期内的cookie。

回复有任何疑惑可以回复我~ 2018-11-19 14:01:56

点开查看后面3条评论

session的key保存在cookie里，那么别人那道了cookie里的session key，是不是就可以模仿用户登录了呢？

正在回答回答被采纳积分+3

1回答

相似问题

请选择置顶位置

本课精华内容

django+xadmin 在线教育课程常见问题归纳（持续更新中）

ModuleNotFoundError: No module named 'django.urls'

django+xadmin 在线教育课程常见问题归纳（持续更新中）

在django工程中要不断地循环执行一段代码怎么做？

‘提交成功’正确后如何把之前的‘添加出错’信息删除呢？

热搜

最近搜索清空

session的key保存在cookie里，那么别人那道了cookie里的session key，是不是就可以模仿用户登录了呢？

正在回答 回答被采纳积分+3

1回答

相似问题

请选择置顶位置

本课精华内容

django+xadmin 在线教育课程常见问题归纳（持续更新中）

ModuleNotFoundError: No module named 'django.urls'

django+xadmin 在线教育课程常见问题归纳（持续更新中）

在django工程中要不断地循环执行一段代码怎么做？

‘提交成功’正确后如何把之前的‘添加出错’信息删除呢？

正在回答回答被采纳积分+3