采纳答案成功!
向帮助你的同学说点啥吧!感谢那些助人为乐的人
老师 Authorization 携带用户的身份信息和 您在讲 xsrf 时说的用 cookie 携带用户身份信息,这两种验证方式有什么区别吗,那种更好呢?
Authorization 是 HTTP 原本协议支持的一种授权方式,但是现在大部分都不用这种方式了,因为当用户登录后,服务端会往客户端种一个 http only 的 cookie,作为登录凭证,是不会存储密码和用户名的。之后发送请求会自动携带这个 cookie,这是目前比较流行的一种方式。另外 xsrf 的 token,往往会另外生成,和用户登录还不一样,目的是为了即使用户没有登录,也要防止被 xsrf。
非常感谢!
老师,这里为什么说 用户没有登录 也会被 xsrf 呢
登录后可查看更多问答,登录/注册
课程从零开始重构功能完整的JS库,是学习造轮子的不二之选!
1.3k 14
1.6k 13
1.4k 13
1.0k 13
1.5k 11