Альтернатива cookie HTTP?
Они говорят, что Cookie плохи. Я лично полагаю, что должен быть "более умный" способ обнаружить состояние пользователя на веб-приложении.
Скажите, в настоящее время это - то, как это работает в распределенной среде, где xyz.com имеет много пулов и серверов (который я знаю):
- Пользователь входит в систему xyz.com
- Модуль входа в систему xyz.com отбрасывает cookie на локальной машине клиента.
- Теперь, когда клиент переходит к Feature1 xyz.com, проверок пула feature1 на локальный cookie, если он находит его и если он не истек затем, Feature1 предполагает, что клиент хорош и впускает его.
Так, feature1 вслепую доверяет клиенту из-за cookie, отброшенного модулем входа в систему.
Но я чувствую фундаментальный дефект здесь на этапе 3. Что, если хакер клонирует cookie и пытается сделать что-то? (который является первой очевидной вещью, которую хакер попытается сделать, сниффинг cookie),
Так, есть ли какая-либо альтернатива этому? - как будет веб-устройство хранения данных, флэш-память, которую хранившие объекты делают в будущем? или cookie будут управлять?
Не ища очевидный ответ, потому что нет ни одного. Я интересуюсь различными точками зрения приближения к этому probem.
Спасибо
1 ответ
Один из основных принципов REST, и я имею в виду настоящий REST - не хранить состояние на сервере, если на сервере нет состояния, то нет необходимости использовать куки в качестве ключа для поиска этого состояния.