Cookies are EVIL
Dernière mise à jour
Dernière mise à jour
Les cookies nous exposent à des vulnérabilités de type C.S.R.F. (Cross Site Request Forgery) que nous aborderons plus tard.
Les clients ne sont pas toujours des "browsers" (Mobile, Desktop, un micro-service, un partenaire).
Les cookies seront envoyés à chaque requête.
Il y a un couplage fort entre le cookie et la session. En revanche, en utilisant le header Authorization nous pouvons envoyer des requêtes avec des tokens différents à la même API.
Exemple : une session avec plusieurs comptes utilisateurs sans établir aucun lien entre les utilisateurs. C’est le cas sur les services google / twitter / facebook etc… ou encore la fonctionnalité "voir ma page facebook en tant que X".
