一旦cookie ID被浏览器停用/删除,cookie ID是否可以回收?例如,如果用户 A 被标记为 CookieID A,它会在 30 天后到期,那么用户 B 是否可以在以后被分配相同的 CookieID?
我想一个更好的问题可能是“CookieID 是如何生成的?”
AskOverflow.Dev
一旦cookie ID被浏览器停用/删除,cookie ID是否可以回收?例如,如果用户 A 被标记为 CookieID A,它会在 30 天后到期,那么用户 B 是否可以在以后被分配相同的 CookieID?
我想一个更好的问题可能是“CookieID 是如何生成的?”
一般来说,没有“CookieID”之类的东西。Cookies 没有预定义的含义,它们只是作为 key=value 存储——网站告诉浏览器存储一些数据,浏览器开始将其附加到未来的请求中。
这意味着每个网站都定义了自己设置的 cookie 的含义和格式——它可能使用 cookie 来存储某种“会话 ID”,也可能不使用。如果它存储会话 ID,它可能会根据 PRNG 或 HMAC 或签名或仅当前时间戳生成 ID。
也就是说,会话 ID通常是完全随机生成的,因此不太可能发生意外的 ID 重复。(例如,一些网站为此目的只使用 128 位 UUID。)回收会话 ID 没有实际优势,它只会增加可能的安全风险。