Was ist der Zweck eines Tokens in Cookies?

WordPress verwendet Cookies für bessere Sicherheit, und ich habe versucht zu verstehen, wie genau dies eine WordPress-Website sicherer machen könnte, und ich fand diesen Artikel . Es gibt eine ziemlich anständige Erklärung, aber es betrifft die 3.9-Version, also ist es ein bisschen veraltet.

Ich habe die Quellen des aktuellen WordPress-Codes und die Beispiele in dem Artikel verglichen, und eines kann ich nicht verstehen.

Der Cookie sah so aus:

Set-Cookie: wordpress_urlhash=user|timestamp|hash 

In diesem Artikel sagte der Typ, dass wir wordpress_urlhash , user , timestamp und auch den hash vorhersagen können, also im Grunde die ganze Cookie-Zeichenfolge, aber nur, wenn wir die eindeutigen Schlüssel / Salze nicht implementiert haben.

Das Problem ist, dass der Cookie ein bisschen anders ist als der, den wir jetzt benutzen – er hatte kein token :

 Set-Cookie: wordpress_urlhash=user|timestamp|token|hash 

Weiß jemand, wofür das Token eingeführt wurde und ob es vorhersehbar ist? Was ist der Zweck davon, weil wir die einzigartigen Schlüssel / Salze haben, nicht wahr?

Solutions Collecting From Web of "Was ist der Zweck eines Tokens in Cookies?"

Entsprechend der WP_Session_Tokens-classndokumentation wird dieses Token verwendet, um die Benutzersitzung zu validieren. Dazu prüft es das bereitgestellte Token anhand der vorhandenen Sitzungs-Token, die in der Benutzermetatabelle für diesen Benutzer gespeichert sind.

Sitzungstoken werden mit der function wp_generate_password generiert und haben eine Länge von 43 Zeichen. Also nein, es sollte nicht vorhersehbar sein.

Sie können die Quelle auschecken, um mehr darüber zu erfahren, wie Sitzungstoken erstellt werden und wie Cookies verifiziert werden .