一、基于表单认证的标准规范尚未有定论,一般会用Cookie来管理Session(会话)。
基于表单认证本身是通过服务器端的WEB应用,将客户端发送过来的用户名ID和密码与之前登陆过的信息做匹配来认证的。
但是,鉴于HTTP是无状态协议,之前已认证的用户状态无法通过协议层面保存下来。即无法实现状态管理,因此即使当改用户下一次继续访问,也无法区分他与其它的用户。于是,我们会使用Cookie来管理Session,以弥补HTTP协议中不存在的状态管理功能。
二、下图,展示了Session的管理及Cookie的状态管理
三、将上图按照步骤分析:
步骤1:客户端把用户ID和密码等登录信息放入报文的实体部分,通常是以POST方法把请求发送给服务器。而这时,会 使用HTTPS通信来进行HTML表单页面的显示和用户输入数据的发送。
步骤2:服 务器会发送以以识别用户的SessionID。通过验证从客户端发送过来的登陆信息进行身份认证,然后把用户的认证状态与SessionID绑定后记录在 服务器。向客户端返回响应时,会在首部字段Set-Cookie内写入Session ID (如:PHPSESSID=028a8c....)。
我 们可以把SessionID想象成一种用以区分不同用户的等位号。然而,如果你的SessionID被第三方盗走,对方就可以伪装成你的身份进行恶意操作 了。因此必须防止SessionID被盗或被猜出。为此,SessionID应该使用难以推测的字符串,且服务器也需要进行有效期的管理,保证其安全性。 另外,为减轻跨站脚本攻击(XSS)造成的损失,建议事先在Cookie内添加Httponly属性。
步骤3:客户端接收到从服务端发送来的SessionID后,会将其作为Cookie保存在本地。下次服务器发送请求时,浏览器会自动发送Cookie,所以SessionID也会随之发送到服务器。服务器端可通过验证接收到的SessionID识别用户和认证状态。