这是很基础的概念，之前没怎么弄过http。对于自己，算是做个笔记吧。

一、socket安全验证

    socket链接是握手之后就一直连着，所以这条链接在第一包验证之后，之后这条链接不需要再验证。“第一个包”可能描述不准确，因为有时候第一包不一定就验证，可能是做路由之类。这里就不管这种情况了，只管第一个包直接验证的情况。

    可以理解为server接受到client的链接，并且验证通过（如用户及密码对了）这个client链接后。以后这个client发过来的包，server都直接做逻辑处理而不再需要做验证链接合法性。这个信任是直到链接断开的。

    如果非法客户端来模拟登陆，至少需要得到有效的id及密码，这已经是密码自身安全的事情，不涉及这里谈的链接安全性。

    如果非法客户端用正确的id及密码登陆后，发些非法包，这里的包验证应该是服务器上包处理时的包检查及逻辑检查的事，就是通常的游戏说的防刷（包频率、包里数据的合法范围等）。

二、http的安全验证

    这里只关心http的短连接。

    短连接就是每次建立链接-发包-断开。同一client的前后两次发到server的包，也相当于独立的两次，同一client的验证就需要每个http请求都要验证下。于是有了session和cookie。cookie是将client的标识放在client端，常用于server没有账户密码验证的方式。这里不讨论cookie。

    server在第一个http请求验证client后，给他分配一个session。这个session简单的可以理解为server和client约定的一个client凭证（有有效期）。之后client在每个请求里加上这个session里规定的值，例如一个合适长度的随机字符串。

    这里的session不能有让恶意用户很容易破解的规律，例如用户的id之类的。所以上边提到随机字符串之类的。