Quería saber dónde se genera exactamente una cookie, es decir, del lado del cliente / servidor. Si interceptar la solicitud antes de iniciar sesión en la aplicación, se mostrará el encabezado con la cookie. Entonces, ¿se genera en el lado del cliente?
Por favor, hágamelo saber. ¡Gracias!
Se puede generar una cookie tanto en el lado del servidor como en el lado del cliente. En el lado del cliente, se puede generar una cookie con Javascript y normalmente se usa para conservar la configuración de la interfaz del usuario (como el idioma, el esquema de color, la cantidad de elementos para mostrar ...) entre diferentes URL o visitas repetidas del mismo servidor. Las cookies para la administración de sesiones que están asociadas con un usuario se crean en el lado del servidor.
La forma en que se validan las cookies (y, en su caso,) depende del propósito de la cookie. Pero las cookies de sesión se validan en el servidor, ya que generalmente se usan como un tipo de credencial de autenticación. La validación de las cookies de sesión se puede realizar de varias maneras según la estructura de la cookie, es decir, puede ser una búsqueda en la base de datos o puede ser un descifrado (y una verificación de integridad) de la cookie, etc.
El comportamiento de creación depende completamente de la aplicación. Algunos cifrarán y firmarán la cookie, haciendo que las cookies del lado del cliente sean inválidas e inútiles. Otros aceptan lo que configures y lo usan.
Por lo general, las cookies se generan en el lado del servidor. Se utiliza para la aplicación que se ejecuta en el servidor para diferenciar las conexiones, ya que HTTP es un protocolo sin estado. Si te conectas sin enviar ninguna cookie, el servidor generará una y te lo dará. Su navegador usará esa cookie después. Sobre esta pregunta Explico las cookies con más detalles.
Algunas aplicaciones permiten la creación de cookies del lado del cliente. Cuando la aplicación recibe una cookie desconocida, simplemente asume que la cookie es válida. Algunas aplicaciones PHP, por ejemplo, le permiten configurar PHPSESSID del lado del cliente antes de conectarse, y creará una nueva sesión con el ID dado.
La validación depende completamente de la aplicación también. Los desarrolladores preocupados por la seguridad que saben que nunca deben confiar ciegamente en nada de lo que proviene del cliente, los cifrarán y firmarán, otros desarrolladores los aceptarán tal como son. En algunos casos extraños, solo crea una cookie isAdmin=1 y accede al servicio como administrador.
Lea otras preguntas en las etiquetas session-management