Cookie中包含令牌的目的是什么?

时间:2015-06-06 作者:Mikhail Morfikov

WordPress利用Cookie实现更好的安全性,我一直在努力了解这究竟是如何让WordPress网站更安全的,我发现this article . 有一个相当不错的解释,但它涉及到3.9版本,所以有点过时。

我比较了当前WordPress代码的来源和本文中的示例,有一点我不明白。

饼干看起来像这样:

Set-Cookie: wordpress_urlhash=user|timestamp|hash
在那篇文章中,那家伙说我们可以预测wordpress_urlhash, user, timestamp 还有hash, 所以基本上是整个cookie字符串,但只有当我们没有实现唯一的键/盐时。

问题是,这种饼干与我们现在使用的有点不同——它没有token:

Set-Cookie: wordpress_urlhash=user|timestamp|token|hash
有人知道这个代币是用来做什么的吗?它是否可以预测?因为我们有独特的钥匙/盐,它的目的是什么,不是吗?

1 个回复
SO网友:dancriel

根据the WP_Session_Tokens class documentation, 此令牌用于验证用户的会话。它通过检查所提供的令牌与存储在该用户的用户元表中的现有会话令牌来实现这一点。

会话令牌是使用wp_generate_password function, 长度为43个字符。所以不,这不应该是可预测的。

您可以查看源代码以了解更多信息how session tokens are created, 和how cookies are verified.

结束
标签: security   cookies   authorization   小码农  

相关推荐

Do I use cookies?

我已经在wordpress中创建了网站,现在客户想知道这个网站是否使用cookie?我对它知道的不多,因为我从未使用过它,但我需要确定。如果我制作网站,我会使用session,我在wordpress中也会这样做,但正如我所说的,我不太了解它,客户需要这些信息。我还使用PIWIK统计数据。有办法检查吗?我可以给你我用过的插件列表。