cookie

登陆界面有用户名、密码输入框，一个’记住账号密码‘的复选框。 1.登录时，勾选‘记住账号密码‘复选框，则会把用户名密码保存在客户端cookie里，保存时间为最大值（直到用户清除浏览器缓存或者取消勾选’记住账号密码‘复选框）； 2.登录时，取消勾选‘记住账号密码‘复选框，会清除cookie保存的用户名密码。 3.登录时，当修改了用户名密码，会判断cookie保存的值是否与输入的相同，如果不同，则会修改cookie的值。 4.登录时，当勾选了‘记住账号密码‘复选框，下次打开登录界面，‘记住账号密码‘复选框初始化为选中状态（这样用户就明白用户名和密码已经保存在cookie中）；否则，是未选中状态。（同QQ登录） 主要代码： 一、前端 html： <body> <form name="form1" method="post"> <label>用户名</label><input type="text" name="UserName" id="username" /> <label>密　码</label><input type="password" name="Password" id="userpass" /> <input type="button" onclick="f_Login()" name="sm1" class="login_btn" value="登录" /> <input

session基本概念 session 技术也叫会话技术。 session 和 cookie 的作用有点类似，都是为了存储用户相关的信息，都是为了解决 http 协议无状态的这个特点。 不同的是， cookie 信息是存储在客户端，而 session 信息是存储在服务器端。 需要注意的是，不同的语言，不同的框架，有不同的实现。 虽然底层的实现不完全一样，但目的都是让服务器端能方便的存储数据而产生的。 session 的出现，是为了解决 cookie 存储数据不安全的问题的。 session的跟踪机制与cookie有关 Flask 框架中， session 的跟踪机制跟 Cookie 有关，这也就意味着脱离了 Cookie ， session 就不好使了。 session工作过程： 服务器端可以采用类似于 mysql 、 redis 等技术来存储 session 信息。 原理是，客户端发送验证信息过来（比如用户名和密码），服务器验证成功后，把用户的相关信息存储到服务器端的 session 中（可想象为一个容器），再通过 盐 的机制， 盐 起到混淆原数据的作用（类似于 加密 ），然后随机生成一个唯一的 session_id ，用来标识(用户名和密码)并存储到 session 中，之后再把这个 session_id 存储到cookie中返回给浏览器。 浏览器以后再请求我们服务器的时候

axios 默认请求是不会带上cookie的，所以需要自己设置 方法一：全局设置： 在 main.js 入口文件配置 import axios from 'axios' // 全局设置 axios 发送请求带上cookie axios.defaults.withCredentials = true 方法二：使用时设置： login(){ //登录方法 由子组件回调 var params = { account: this.account, password: this.password } this.$http.post( "/api/admin/login", this.$qs.stringify(params), {withCredentials: true}) //调用时设置 请求带上cookie .then(function (response) { console.log(response) }) .catch(function (error) { console.log(error) }) } 来源： CSDN 作者： 稳步前进的程序猿^_^ 链接： https://blog.csdn.net/weixin_42425970/article/details/104082540

摘要 通过本文你将了解ASP.NET身份验证机制，表单认证的基本流程，ASP.NET Membership的一些弊端以及ASP.NET Identity的主要优势。 文件夹 身份验证（Authentication）和授权（Authorization） ASP.NET身份验证方式 理解表单验证流程 认识ASP.NET Membership 拥抱ASP.NET Identity ASP.NET Identity主要组成部分 总结 身份验证（Authentication）和授权（Authorization） 我们先来思考一个问题： 怎样构建安全的WEB应用？ 一直以来，这都是比較热门的话题。不幸的是。眼下还没有一种万能方法。来保证您的WEB应用是绝对安全的。无论是系统本身的漏洞，还是其它外来的攻击。我们每天都饱受着安全问题的煎熬。 事实上，我们也无需沮丧和纠结。 既然，我们不能阻止攻击，可是能够提前预防，尽量将损失减到最小，不是吗？ 眼下，有很多适用于ASP.NET应用的安全原则。比方深度防御、不信任不论什么输入数据、关闭不必要的功能等等。 可是，最主要的、最重要的原则还是身份验证（Authentication）和授权（Authorization）。 初次看到这两个概念。或许大家非常easy犯迷糊。 由于，Authentication和Authorization确实长得非常像。 事实上

1 概述 Cookie是由客户端保存和携带的---所以属于客户端技术。 cookie: 是servlet发送到Web浏览器的少量信息， cookie是通过HttpServletResonse#addCookie方法将cookie发送到浏览器。该方法将字段添加到HTTP响应头。 大小限定为4KB，每台20个，总共300个。 服务器获取方式：HttpServletRequest#getCookies 2 属性 name : 不能唯一标识一个cookie，路径可能不同。 value: 不能存中文， path:默认写入cookie的那个应用的访问路径。 如： http://localhost:8080/day10/servlet/cookieDemo1 Path: / day10/servlet/ 当客户端访问服务器其他资源时，根据访问的路径判断是否带着cookie到服务器。当访问的路径是以cookie中path开头的路径，就会携带，否则不带。 maxAge:cookie的保存时间，默认为-1（浏览器内存中） 单位是s 0：删除cookie 正数：保存时间 示例： 搜索的书名，被服务器记录了book id返回给浏览器。 来源： CSDN 作者： 小汪4code 链接： https://blog.csdn.net/qq_32527287/article/details/103871324

## 1. 认证 (Authentication) 和授权 (Authorization)的区别是什么？ 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词，很多人都会把它俩的读音搞混，所以我建议你先先去查一查这两个单词到底该怎么读，他们的具体含义是什么。 说简单点就是： - **认证 (Authentication)：** 你是谁。 - **授权 (Authorization)：** 你有权限干什么。 稍微正式点（啰嗦点）的说法就是： - **Authentication（认证）** 是验证您的身份的凭据（例如用户名/用户ID和密码），通过这个凭据，系统得以知道你就是你，也就是说系统存在你这个用户。所以，Authentication 被称为身份/用户验证。 - **Authorization（授权）** 发生在 **Authentication（认证）** 之后。授权嘛，光看意思大家应该就明白，它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定权限的人才能访问比如admin，有些对系统资源操作比如删除、添加、更新只能特定人才具有。 这两个一般在我们的系统中被结合在一起使用，目的就是为了保护我们系统的安全性。 ## 2. 什么是Cookie ? Cookie的作用是什么?如何在服务端使用 Cookie ? ### 2.1 什么是Cookie ?

最早的在客户端存储数据用的是cookie，cookie主要是用来保存用户的状态，并不适合用于保存客户端的本地数据。有以下几个原因：每次请求服务器的时候都会增加不必要的流量消耗，因为每次请求服务器都会将cookie发送至服务器；cookie存储数据的规则，并不那么好用，结构不也够清晰；cookie的存储容量极小，每个cookie的长度不能超过4kb，超过的话会截掉超出大小的最早存储的数据。 后来又出现了localStorage和sessionStorage。localStorage：永久存储，无论多久再进入页面都能获取到存储的数据；sessionStorage：临时存储，当关闭页面的时候会自动清除保存的数据。实际开发中这两个用的最多，但是存储结构依然不够清晰，查询本地存储的数据依然过于简单。 HTML5中新增了Web Sql本地数据库技术。Web Sql数据库API实际上不是HTML5规范的组成部分，它是一个独立的规范，可以使用与sql语言基本一致的语法做到数据库的增删改查。 Safari, Chrome 和 Opera 浏览器支持Web Sql。 判断浏览器是否支持Web SQL： if (window.openDatabase) { // 操作 web SQL } else { alert('当前浏览器不支持 webSQL !!!'); } 打开数据库： openDatabase

查看源代码发现三个txt进入的格式是这样的 把filename改为/fllllllllllllag emmmmm，点其他的看看 有思路了重点就是求出这个cookie_secret 作为一个菜鸡，百度tornado 然后了解到了模板注入（配上网址https://www.jianshu.com/p/aef2ae0498df） render是一个类似模板的东西，可以使用不同的参数来访问网页 在tornado模板中，存在一些可以访问的快速对象，例如 {{ escape(handler.settings[“cookie”]) }} 构造playload ：r?msg={{handler.settings}} 知道cookie_secret就简单了 直接按照题意来出来flag了 来源： CSDN 作者： SopRomeo 链接： https://blog.csdn.net/SopRomeo/article/details/104008989

我们在实际生活中总会遇到这样的事情，我们一旦登录（首次输入用户名和密码）某个网站之后，当我们再次访问的时候（只要不关闭浏览器），无需再次登录。而当我们在这个网站浏览一段时间后，它会产生我们浏览的记录，而且有的网站还提供购物车的功能。这些简单实用的功能就是通过Cookie与Session实现的，接下来，让我们一起探讨一下它们是如何运行的。 1、概念 Cookie 有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而 储存在用户本地终端上的数据 （通常经过加密）。 Session Session直接翻译成中文比较困难，一般都译成时域。在计算机专业术语中， Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间 。以及如果需要的话，可能还有一定的操作空间。 具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到关闭这个网站所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。 需要注意的是，一个Session的概念需要包括特定的客户端，特定的服务器端以及不中断的操作时间。A用户和C服务器建立连接时所处的Session同B用户和C服务器建立连接时所处的Session是两个不同的Session。 2、区别 1

通常情况下，当我们关闭浏览器再重新打开后，我们就需要再次进行登陆（如果没有进行下次自动登录之类的设置）。在Jav中（Session是通用的，这里以Java为例）有一种叫做Session机制（会话机制）来记录用户的登录信息。浏览器关闭之后，Session会被清除吗？Session是一种服务器端的对象，保存在服务器中。 每个Session 有一个唯一的Session id。 Session的超时也是由服务器来控制。我们一般都会把Session和Cookie放在一起来说。Cookie分为内存中Cookie（也可以说是进程中Cookie）和硬盘中Cookie。大部分的Session机制都使用进程中Cookie来保存Session id的，关闭浏览器后这个进程也就自动消失了，进程中的Cookie自然就消失了，那么Session id也跟着消失了，再次连接到服务器时也就无法找到原来的Session了。其实服务器是不会知道浏览器关闭了没有（当然，你可以在关闭的时候去通知服务器，但一般都不会这样做），所以关闭浏览器时服务器是不会删除Session的，也正是这个原因服务器才会设置一个Session失效时间的，不然服务器早晚会被撑爆的。等距离上一次使用该Session的时间达到设置的失效时间时，服务器就会认为客户端已停止活动，便会将相应的Session删除。当然，我们可以在登陆时点击下次自动登录