我在这里读了几个答案这个话题,和人说会话使用更安全,使用只有饼干,但我看不出这怎么可能是真的。用户登录安全性 - 本地饼干VS会议
比方说,你正在使用的会话,并在客户端计算机上只存储会话ID。如果黑客可以访问客户端的计算机并窃取会话ID cookie,他实际上可以访问我的网站上的客户帐户,对吗?
现在,如果您仅使用本地Cookie,并将其存储为客户端密码的散列部分+结合了只有您的服务器知道的盐,黑客仍然可以通过窃取其cookie来访问其帐户他的电脑。
所以最后两种方法没有区别,对吧?或者我错过了什么?
在会话的情况下,你可以放更多的图层。例如。 IPS。或者,即使有人窃取会话,这些添加的图层也可以防止劫持。它不是牢不可破的,但绝对难以打破。 – itachi