标题基本上解释了自己,如果我在登录时制作了一个会话令牌,并用BCRYPT生成了自己的会话令牌并进行了验证,这是一个好主意吗?
它们的用途完全不同。即使您创建了自己的会话令牌,客户端也需要某种方式向您发送该令牌以检索其会话。CSRF令牌使人们无法通过劫持人们的会话在网站外制作表单。
就我个人而言,除了强制会话ID使用安全cookie之外,我认为不值得更改PHP中会话的默认管理方式。
完全不同。如果你想让我详细说明一下,请告诉我。
标题基本上解释了自己,如果我在登录时制作了一个会话令牌,并用BCRYPT生成了自己的会话令牌并进行了验证,这是一个好主意吗?
它们的用途完全不同。即使您创建了自己的会话令牌,客户端也需要某种方式向您发送该令牌以检索其会话。CSRF令牌使人们无法通过劫持人们的会话在网站外制作表单。
就我个人而言,除了强制会话ID使用安全cookie之外,我认为不值得更改PHP中会话的默认管理方式。
完全不同。如果你想让我详细说明一下,请告诉我。