Citat:
Ursprungligen postat av
VoiceofDestruction
Vilket problem?
Vems problem?
Varför skrev du "var", snarare än är?
På vilket sätt är "allt bortglömt igen"?
"Kakor" har ju olika tidslängd.
I vems främsta intresse?
Vari ligger de av dig påstådda konspirationsteorierna?
Ingenting av vad du påstår motbevisar det, som inlägget handlar om.
Snarare bekräftar alla dina påståenden vad inlägget handlar om.
Fast du förstår inte det?
Som jag sa används cookies för att hålla reda på data om klienten som ansluter till webservern mellan anrop. Problemet man vill överkomma på det sättet är att som jag även sa, http är i grunden stateless och webservern persisterar ingen data om klienten som anropar den.
Därför måste klienten skicka med något varje anrop för att upplysa webservern om att den varit där förut och vilka inställningar som gällde där och då.
JWT infördes som ett sätt att autenticera användare crossdomain (bland annat), dvs när du har en identity provider som autenticerar användaren, men som inte tillhör samma domän som webservern i fråga.
Cookies kommer bara skickas ut till den webserver som satte dem, därför kan sådana inte användas i ett scenario där du har en separat autenticeringsserver då webservern som ska avgöra om autenticering skett eller ej inte kan läsa dessa cookies.
Det är för övrigt ingen slump att http är stateless, man insåg rätt tidigt att det skulle vara helt orimligt att webservern skulle hålla rätt på alla klienter som anslöt till den, framförallt vältrafikerade sådana.
Som även påpekats i tråden skulle webben inte fungera speciellt bra utan cookies. Däremot kan allt missbrukas som sagt. Ett tag var det även populärt att lägga in en transparent gif på sidan med bredd och höjd 0, men denna gif var unik, vilket gjorde att webseervern som levererade giffen kunde veta vem som hämtat den och från vilken sida.
Det fanns således sätt att "missbruka" sådana med.
