假設(shè)我拿到了別的用戶的淘寶網(wǎng)站的cookie，我放到自己的http請(qǐng)求里，我就可以冒充這個(gè)用戶嗎？理論上，如果你得到一個(gè)cookie，你就可以模仿一個(gè)用戶。根據(jù)以下具體分析：此“身份密碼”由服務(wù)器生成

假設(shè)我拿到了別的用戶的淘寶網(wǎng)站的cookie，我放到自己的http請(qǐng)求里，我就可以冒充這個(gè)用戶嗎？

理論上，如果你得到一個(gè)cookie，你就可以模仿一個(gè)用戶。根據(jù)以下具體分析：

此“身份密碼”由服務(wù)器生成并放置在客戶端瀏覽器的cookie中。服務(wù)器將有一個(gè)與之對(duì)應(yīng)的會(huì)話，會(huì)話ID也存儲(chǔ)在cookie中。

如上所述，服務(wù)器的會(huì)話ID存儲(chǔ)在客戶端的cookie中，以便其他用戶在cookie中獲得會(huì)話ID后，可以模擬原始用戶啟動(dòng)請(qǐng)求。

這似乎不合理

！但是，這是cookies和會(huì)話的機(jī)制。我們說(shuō)過(guò)當(dāng)cookie被禁用后，session可能無(wú)法正常工作，但是我們可以通過(guò)get將sessionid傳遞給服務(wù)器，因此如果sessionid以明文形式傳輸，則存在安全風(fēng)險(xiǎn)。

由于cookie存儲(chǔ)在客戶機(jī)中并且不安全，因此當(dāng)我們將用戶數(shù)據(jù)存儲(chǔ)在cookie中時(shí)，我們將對(duì)其進(jìn)行加密。例如，它將驗(yàn)證用戶的IP、終端身份等，即使其他用戶偽造Cookie，也無(wú)法驗(yàn)證。首先，很明顯，支付寶和微信，甚至任何移動(dòng)支付平臺(tái)，都是按照會(huì)計(jì)理論設(shè)計(jì)的，不是程序員設(shè)計(jì)的。程序員只需編寫(xiě)這些計(jì)算公式。

有必要普及什么是會(huì)計(jì)原理。會(huì)計(jì)是一門(mén)平衡的學(xué)科，一門(mén)叫做借方，另一門(mén)叫做貸方。只有有路進(jìn)去，才能有路出去。有出路就有出路。如果沒(méi)有辦法進(jìn)去，就沒(méi)有辦法出去。這很容易理解。

任何操作都屬于這個(gè)理論，即：可以省錢(qián)有余額，余額不能被代碼修改。這和銀行卡一樣，如果銀行工作人員自己寫(xiě)的卡余額不是很豐富嗎？當(dāng)你充值時(shí)，你的銀行卡借款人，當(dāng)你支付寶、微信賬號(hào)，當(dāng)你套現(xiàn)時(shí)，支付寶、微信賬號(hào)是借款人，銀行卡是貸款人。它必須是一致的。當(dāng)然，如果有一個(gè)有利率的賬戶，就會(huì)有一個(gè)有利率的借貸票據(jù)。

因此，學(xué)習(xí)程序員不應(yīng)該是一廂情愿的想法。沒(méi)有人能改變這個(gè)系統(tǒng)，因?yàn)轱L(fēng)險(xiǎn)控制在上線之前就已經(jīng)進(jìn)行了。