web开发中的Cookie与Session技术

Cookie

Cookie的由来

HTTP协议是无状态的,无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。

对服务器来说,记不住是谁刚刚发了HTTP请求,所以每次的请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的,也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

Cookie的机制

Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等,服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。

总结一下Cookie的特点:

  • 浏览器第一次发送请求的时候,服务端设置cooki,第二次发送请求的时候,自动把携带该站点之前存储的Cookie信息。
  • cookie数据保存在客户端,不安全。
  • 服务端才可以设置Cookie数据。
  • Cookie是针对单个域名的,不同域名之间的Cookie是独立的,并且每个域名的cookie数量是有限的。
  • Cookie数据可以配置过期时间,过期的Cookie数据会被系统清除。

Session的由来

Cookie虽然在一定程度上解决了“保持状态”的需求,但是由于Cookie本身最大支持4096字节,以及Cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是Session。

问题来了,基于HTTP协议的无状态特征,服务端根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。

用户登陆成功之后,我们在服务端为每个用户创建一个特定的session和一个唯一的标识,它们一一对应。其中:

Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;
唯一标识通常称为Session ID会被加密入用户的Cookie中。
这样该用户后续再次访问时,请求会自动携带Cookie数据(其中包含了Session ID),服务端通过该Session ID就能找到与之对应的Session数据,也就知道来的人是“谁”。

Cookie的机制
Cookie弥补了HTTP无状态的不足,让服务端知道来的人是“谁”;但是Cookie以文本的形式保存在本地,自身安全性较差;
所以我们为每个用户生成一个Session ID,用于区别不同的用户和他们的数据。Session ID会被加密写入cookie中。
所以我们就可以通过Session ID识别不同的用户,对应的在服务端为每个用户保存一个Session id数据,该Session数据中能够保存具体的用户数据信息。
这样每个人只需要保存自己的session id,而服务端要保存所有人的session id。

总结一下session 特点:

  • Session必须依赖于Cookie才能使用。
  • 数据量不受限。
  • 数据是保存在服务端,是相对安全的。
  • 但是需要后端维护一个Session服务,服务端压力大。

服务端保存session的方案:
session的复制与共享

refer:

Cookie和Session

一文带你彻底理解 Cookie、Session、Token

原文地址:https://www.cnblogs.com/-wenli/p/11623086.html

时间: 2024-10-09 17:50:24

web开发中的Cookie与Session技术的相关文章

web开发中的Cookie

本文所有内容全部来源于Fish Li的博客细说Cookie Cookie虽然是个很简单的东西,但它又是WEB开发中一个很重要的客户端数据来源,而且它可以实现扩展性很好的会话状态, 所以我认为每个WEB开发人员都有必要对它有个清晰的认识.本文将对Cookie这个话题做一个全面的描述, 也算是我对Cookie的认识总结. Cookie 概述 Cookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递.Cookie 包含每次用户访问站点时 Web 应用

正确理解web交互中的cookie与session

cookie存储在客户端的纯文本文件 用户请求服务器脚本 脚本设置cookie内容 并 通过http-response发送cookie内容到客户端并保存在客户端本地 客户端再次发送http请求的时候会将本地的cookie内容添加到http请求头发送给服务器,服务器端脚本可以调用cookie内容 流程如图 cookie.php 脚本 客户端第一次访问(发送http请求)脚本设置cookie(setcookie)到客户端 并不会显示cookie内容 此时客户端的cookie文件已经生成 cookie

Web开发中的域问题:PageContext,Request,Session,ServletContext(Application)

Web开发中的四个域对象(范围由小到大): page(jsp有效)  request(一次请求) session(一次会话) application(当前web应用) page域指的是pageContext. request域指的是HttpServletRequest session 域指的是HTTPSession application 域指的是ServletContext 之所以他们是域对象,原因就是他们都内置了map集合,都有setAttribute getAttribute方法.而且他们

IM开发基础知识补课(四):正确理解HTTP短连接中的Cookie、Session和Token

本文引用了简书作者“骑小猪看流星”技术文章“Cookie.Session.Token那点事儿”的部分内容,感谢原作者. 1.前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现.Http短连接主要用于从服务器读取各种持久化信息:比如用户信息.聊天历史记录.好友列表等等,长连接则是用于实时的聊天消息或指令的接收和发送. 作为IM系统中不可或缺的技术,Http短连的重要性无可替代,但Http作为传统互联网信

Web开发中前台与后台技术小结--关于EL表达式,JSTL,eval()函数

在我们日常Web开发中,常常用到EL表达式,JSTL标签,还有可能用到JavaScript中的eval().下面就这样技术和函数小小说明一下. EL(Expression Language),全称表达式语言,既然是开发语言,那么就像Java等语言一样是用来写语句的,通常是用在JSP页面中,我们为了获取JSP提供的内置对象的属性值, 我们通常会使用到EL表达式,比如开发中常见的一个需求就是获取项目的根目录,如果项目的名值变化了,我们在指定路径时,如果把项目的根目录用一个变量来表示的话,那么就不 需

Web开发中 前端路由 实现的几种方式和适用场景

浅析Web开发中前端路由实现的几种方式 主题 Web开发 故事从名叫Oliver的绿箭虾`说起,这位大虾酷爱社交网站,一天他打开了 Twitter ,从发过的tweets的选项卡一路切到followers选项卡,Oliver发现页面的内容变化了,URL也变化了,但为什么页面没有闪烁刷新呢?于是Oliver打开的网络监控器(没错,Oliver是个程序员),他惊讶地发现在切换选项卡时,只有几个XHR请求发生,但页面的URL却在对应着变化,这让Oliver不得不去思考这一机制的原因- 叙事体故事讲完,

浅析Web开发中前端路由实现的几种方式

故事从名叫Oliver的绿箭虾`说起,这位大虾酷爱社交网站,一天他打开了 Twitter ,从发过的tweets的选项卡一路切到followers选项卡,Oliver发现页面的内容变化了,URL也变化了,但为什么页面没有闪烁刷新呢?于是Oliver打开的网络监控器(没错,Oliver是个程序员),他惊讶地发现在切换选项卡时,只有几个XHR请求发生,但页面的URL却在对应着变化,这让Oliver不得不去思考这一机制的原因… 叙事体故事讲完,进入正题.首先,我们知道传统而经典的Web开发中,服务器端

开发路程(2):Cookie和Session

Cookie和Session是很常用的实现Http状态的技术. 1.为什么要使用Cookie和Session? 由于Http协议请求过程,是基于TCP/IP,当客户端请求服务器,服务器处理后, 进行响应,这个过程是无状态的.在有些时候,是需要保存一些客户端的请求信息,识别客户端的某些状态.智能的,有针对性的去分析某些客户端的习惯.这些时候,就需要记录客户端的连接状态,识别请求的状态等.为了解决类似的事情,就需要使用到Cookie和Session. 2.Cookie和Session的具体知识? (

WEB开发中一些常见的攻击方式及简单的防御方法

WEB开发中一些常见的攻击方式及简单的防御方法 20151127 转载http://www.lvtao.net/dev/582.html SQL注入最常见的攻击方式,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. 跨站脚本攻击(XSS)跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取