长时间身份验证会话和安全性

Question

我注意到，在我在许多网站上进行身份验证后，例如在Facebook或Twitter上，我被登录了很长一段时间，超过2-3个月，可能是一年。

所以，我的问题是，这是安全的吗？或者也许它们以某种方式随时间改变了会话id？

Answer 1

一些网站使用会话cookie，其中包含您的会话数据，这些数据通过仅对后端可见的密钥进行了大量加密。其他一些网站使用令牌，所以基本上你可以通过访问令牌来访问你的内容，这只在短期内有效。然后你得到了长期有效的刷新令牌来刷新你的短期访问令牌，这些令牌不是也不应该作为cookie存储，而是作为本地存储项，因为cookie很容易通过跨站点javascript获得，并且本地存储仅对当前站点可用。