一旦浏览器停用/删除了 Cookie ID,该 Cookie ID 是否可以回收?例如,如果用户 A 被标记为 CookieID A,该 CookieID 将在 30 天内过期,那么以后是否可以为用户 B 分配相同的 CookieID?
我想更好的问题可能是“CookieID 是如何生成的?”
答案1
一般情况下,没有“CookieID”之类的东西。Cookie 没有预定义的含义,它们只是充当键=值存储 - 网站告诉浏览器存储一些数据,然后浏览器开始将其附加到未来的请求中。
这意味着每个网站都会定义其设置的 Cookie 的含义和格式 - 它可能使用 Cookie 来存储某种“会话 ID”,也可能不使用。如果它存储会话 ID,则它可能基于 PRNG 或 HMAC 或签名或当前时间戳生成 ID。
也就是说,会话 ID通常完全随机生成,因此意外 ID 重复的可能性很小。(例如,一些网站为此目的只使用 128 位 UUID。)回收会话 ID 没有任何实际优势,只会增加可能的安全风险。