Cookie与会话--Session与SSO的实现细节研究

最新推荐文章于 2022-05-23 09:58:57 发布
最新推荐文章于 2022-05-23 09:58:57 发布
阅读量5.5k 收藏 4
点赞数
文章标签: sso 浏览器 domain session path 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aspdao/article/details/6738972
版权

0.背景

        最近项目中在做一个平台性质的东西,为其他业务系统提供某种服务,方式是向业务系统提供iframe的弹窗。嵌入式的平台页面需要对访问权限进行验证,而业务系统和平台共用一套CAS,最后经过研究得出结论是,平台的嵌入式页面无需任何额外的代码就直接能够通过外层业务系统的登录状态通过嵌入式的平台页面的权限验证。这里面的主要机制就在于Cookie,之前我在自己写的一个Web服务器中实现Session时,对Cookie有了更深层次的认识,因此,在这里对Cookie做一次详细而全面的总结。都是自己的看法,不见得完全正确,呵呵。

1.Cookie综述

        众所周知,HTTP协议是无状态的,想在无状态的协议中实现访问会话是不够的,服务器端无法区分请求是否来自同一个浏览器,因此需要而外的数据用于区分请求来源,当然IP地址也是不够的,一个用户可能开启多了浏览器或浏览器进程。小甜饼Cookie 由此而生,她诞生于网景公司,篇幅有限就不赘述了。Cookie在Web会话中起到了最关键性的作用,其实大家所熟知的Session、SSO等,或者大胆一点的假设,所有仅通过浏览器、HTTP协议(不包括安装插件等特殊情况)实现的会话,底层都应该是依靠Cookie来实现的(呵呵有待考证,假设的有点大胆,欢迎板砖)。

        Cookie是由浏览器在访问时在HTTP报文中携带的一段文本串,这段文本串一般都是最初由服务器端的响应报文中向浏览器提供的,浏览器在接收到Cookie后存储于浏览器进程内或是存储于浏览器本地文件系统中,这视Cookie的有效期而定。每段Cookie都是和一个域domain相对应的,当浏览器发出一个新的请求时,浏览器会将当前有效的、匹配当前请求的Cookie(Cookie的domain和请求的domain一致)附加到HTTP请求报文中,这样在服务器端就可以获取到最初传递给浏览器的Cookie,Cookie就相当于一个令牌,在客户端浏览器和服务器之间来回传递,就是这样实现了无状态的HTTP协议的会话。即,服务器一次发送Cookie给浏览器,浏览器每次请求附带该Cookie。可以说,实现在无状态的HTTP协议中的会话,主要的工作都是由浏览器实现的,将服务器端的Cookie进行存储,在发请求时加入Cookie到HTTP报文中。下面将对Cookie的一些细节进行阐述。

        在开始研究Cookie前,不得不介绍几个工具,查看Cookie的,其实是查看HTTP报文的工具,Web开发时的利器,让你对Web页面的请求响应内容了如指掌,前端后台都需要。

首先是FireFox,强大的HTTPWatch7不支持FF6,唉..这个HTTPFOX勉强用吧,比HTTPWatch差远了

FireBug很强大,但是感觉查看HTTP报文的功能有点坑爹,自己决定吧,反正我是不用。


IE下的HTTPWatch7,大爱,不解释。当初在学校自己写Web服务器时,多亏有它。

有效期Expires

很关键的参数,决定了Cookie的有效期限,设置当前时间以前的或者为0,表示浏览器进程。浏览器进程的Cookie是浏览器关掉就失效的,而设置了有效期为未来某时间的,会在本地文件系统中存储文件的,这也是Cookie收到诟病的原因之一,这里不再赘述。用来实现会话的一般都是浏览器进程的,而像购物车、几个月不用再登陆等都是将Cookie存储于本地文件系统。如下图是百度首页的Cookie过期时间夸张吧,目的就是不过期啦,要存在你的硬盘上,除非你手动删除或者设置浏览器禁止Cookie。


如下图所示即为本地存储的Cookie,以IE和FireFox为例,存储路径是C:\Documents and Settings\username\Cookies,浏览器为每个网站建立一个独立的txt文件。

再看看Session的,这个是我之前在学校开发的一个项目,域名嘛,你懂的。这是J2EE的项目注意Cookie的名字,JSESSIONID,这个在Session部分再讲吧,可见Expires为(Session),其实这并不是Cookie中的值,只不过插件为了醒目这么现实的。表示当你关闭浏览器时,这个Cookie销毁。


PHP的Session是用PHPSESSID这个Cookie名的

Domain

    对于存储于浏览器端的Cookie,在浏览器发起请求时是有选择性的发送的,并不是将浏览器端的所有Cookie在每次请求都附加到请求报文中,这样不但减少了传输量,同时更重要的原因也是出于安全性的考虑,不属于某个网站或某些页面的Cookie,服务器端是无权访问的。在浏览器发起某次请求时,究竟哪些Cookie会被附加到请求报文中,是依靠domain和path共同来决定的。

    domain或称为域,具体含义可以去搜域名,Cookie中的domain是按照尾部匹配的原则进行的,例如,domain为.baidu.com和.abc.baidu.com的Cookie,在访问http://abc.baidu.com/时都会被传递。而访问http://www.google.com/则不会被传递。

    在设置Cookie的domain时,你可以随意设置,例如http://abc.baidu.com/的网站你可以设置domain为.google.com的Cookie,该Cookie就会发送给http://www.google.com/的服务器,但是http://abc.baidu.com/的服务器就甭想再拿到它了,因为浏览器会认为它不属于你,尽管是你设置的它。

Path

    path与domain类似,也是决定Cookie的归属的,但是它比domain更加细粒度,domain是决定哪些网站可以访问,而path是决定这个网站的哪些路径可以访问。而path默认是当前设置Cookie的页面的路径,例如http://abc.baidu.com/test/a.php设置了Cookie,那么若不显式设置path,其path就是/test。path拥有继承性,对于path的子路径,都拥有了对该Cookie的访问权,例如http://abc.baidu.com/test/b.php以及http://abc.baidu.com/test/hello/c.php都拥有对path为/test的访问权。

2.Cookie与Session
3.Cookie与SSO

4.伪造Cookie登录 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>无标题文档</title>
<script type="text/javascript">
document.domain="baidu.com";
var cookieindex = 0;

function getCookie(c_name)
{
if (document.cookie.length>0)
  {
  c_start=document.cookie.indexOf(c_name + "=")
  if (c_start!=-1)
    { 
    c_start=c_start + c_name.length+1 
    c_end=document.cookie.indexOf(";",c_start)
    if (c_end==-1) c_end=document.cookie.length
    return unescape(document.cookie.substring(c_start,c_end))
    } 
  }
return ""
}
function setCookie(c_name,value,expiredays)
{
var exdate=new Date();
exdate.setDate(exdate.getDate()+expiredays);
document.cookie=c_name+ "=" +escape(value)+((expiredays==null) ? "" : ";expires="+exdate.toGMTString()) +";path=/;domain=baidu.com";
}


function addCookie(){
	cookieindex++;
	var cookieDIV = document.getElementById("cookies");
	cookieDIV.innerHTML += "cookie名<input type=\"text\" id=\"cookiename"+cookieindex+"\">cookie值<input type=\"text\" id=\"cookievalue"+cookieindex+"\"><br>";
}
function redirect(){
var ddd = "";
for(i=0;i<=cookieindex;i++){
var cookiename = document.getElementById("cookiename"+i).value;
var cookievalue = document.getElementById("cookievalue"+i).value;
ddd += cookiename+":"+cookievalue+";";
setCookie(cookiename,cookievalue,10);

window.location.href= document.getElementById("redirectURL").value;
}
}
</script>
</head>

<body>
  <p>请先在C:\WINDOWS\system32\drivers\etc\hosts文件中添加伪装域名</p>
  <p>例如:127.0.0.1 www0.baidu.com </p>
  <p>伪装cookie后跳转页面:
    <input type="text" id="redirectURL">
   </p>
  <div id="cookies">
  cookie名<input type="text" id="cookiename0">cookie值<input type="text" id="cookievalue0"><br>
  </div>

  <p>   
    <input type="button" name="Submit2" value="添加cookie" onClick="addCookie()">
    <input type="button" name="Submit" value="伪装跳转" onClick="redirect()">
          </p>
</body>
</html>


aspdao
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
aws-sso:适用于AWS SSO凭证的命令行工具
05-02
奥索 该软件包提供了一个命令行界面,可通过获取AWS凭证。 aws-cli软件包适用于Python版本: 3.7.x及更高版本 注意力! 该软件包依赖和Google Chrome才能工作。 因此,您需要安装和 。 这是在macOS上开发和测试...
Spring Boot使用Servlet Session和Spring Session
诗人不写诗
06-14 4000
直接使用Tomcat Session可以满足用户访问量不大的情况,
SSO - 使用cookiesession实现单点登录
江南烟雨却痴缠丶
06-22 3557
什么是单点登录 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。 cookie+session实现单点登录 之前的文章有记录过使用CAS开源项目来实现单点登录,也有通过JWT来实现
SpringBoot配置属性之Server
weixin_34007291的博客
11-16 440
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性...
session-timeout(web.xml)元素与session.setMaxInactive
cailiwu55的博客
01-21 876
session-timeout元素(WEB.XML文件中的元素)用来指定默认的会话超时时间间隔,以分钟为单位。该元素值必须为整数。如果session-timeout元素的值为零或负数,则表示会话将永远不会超时。如: &lt;session-config&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;session-timeout&gt;30&l...
sso-parent:单点登录(SSO)简单实现--使用servlet实现
04-30
sso-parentinit commited.运行步骤:1:分别启动这三个工程(使用Jetty插件)。2:访问OA系统,URL:3:这样跳转到登录页面,URL: 4:用户名为:landy,密码为:landy5:然后去进入ERP系统,URL:
sso-user-cookie.zip
10-13
sso单点登录-cookie版Demo
xxl-sso:分布式单点登录框架。(分布式单点登录框架XXL-SSO
02-03
XXL-单点登录 XXL-SSO,一种分布式单点登录框架。 介绍 XXL-SSO是一个分布式单点登录框架。 您只需登录一次即可访问所有受信任的应用程序系统。 它具有“轻量级,可伸缩,...轻量级:环境依赖小,部署与接收成本费用
xxl-sso-core-1.1.1-SNAPSHOT.jar
09-11
xxl/sso 核心处理包
servlet SessionCookies小整合
09-25
个人的整合小资料希望对你有帮助,大家一起努力做到最好。
六大对象Response,Request,Server,Application,SessionCookie
10-13
Response对象用语输出数据到客户端,包括向浏览器输出数据、重定向浏览器到另一个URL或向浏览器输出Cookie文件。 Request对象主要是让服务器取得客户端浏览器的一些数据,包括从HTML表单用Post或者GET方法传递的参数、Cookie和用户认证。因为Request对象是Page对象的成员之一,所以在程序中不需要做任何的声明即可直接使用。 Server对象提供对服务器上的方法和属性进行的访问 .其类名称是HttpServerUtility. Application对象在实际网络开发中的用途就是记录整个网络的信息,如上线人数、在线名单、意见调查和网上选举等。在给定的应用程序的多有用户之间共享信息,并在服务器运行期间持久的保存数据。而且Application对象还有控制访问应用层数据的方法和可用于在应用程序启动和停止时触发过程的事件。 Session会话,是指一个用户在一段时间内对某一个站点的一次访问。
java 设置session
zhiyikeji的博客
01-18 854
1.Spring Boot: server.session.cookie.comment = #注释会话cookie。 server.session.cookie.domain = #会话cookie的域。 server.session.cookie.http-only =#“HttpOnly”标志为会话cookie。 server.session.cookie.max-age = #会话coo...
SessionCookie理解及SSO(单点登录--cas
Jesse_cool的博客
11-30 1880
http://www.imooc.com/article/3555 HTTP是一个无状态协议。即对服务器来说,每次收到的浏览器HTTP请求都是单一独立的,服务器并不考虑两次HTTP请求是否来自同一会话,即HTTP协议是非连接会话状态协议。 对于Web应用登录,意味着登录成功后的后续访问,可以看做是登录用户和服务端的一次会话交互过程,直到用户登出结束会话。 如何在非连接会话协议之上,实现这种会话
spring boot application.properties 配置参数详情
m0_67393828的博客
04-22 1141
multipart multipart.enabled 开启上传支持(默认:true) multipart.file-size-threshold: 大于该值的文件会被写到磁盘上 multipart.location 上传文件存放位置 multipart.max-file-size最大文件大小 multipart.max-request-size 最大请求大小 server server.address 服务器地址 server.port 服务器端口 server.context-parameters.[p
Servlet设置Cookie无效
weixin_30416497的博客
05-18 265
  项目中保存用户信息用到了Cookie,之前没有太注意,今天怎么设置Cookie都无效,断点跟了无数遍,都没有找出问题所在,明明发送Cookie的代码都有执行,可是愣是找不到Cookie发送到哪里去了,使用HttpWatch也看了N多遍,响应头中就是没有发送Cookie信息。  感觉知识太匮乏了,遇到问题根本无从下手。这下实在无计可施了,抱着试试的态度把response.sendRedirect...
Java中设置Session过期时间(Spring Boot)
weixin_33831673的博客
10-24 589
1、Spring Boot: server.session.cookie.comment = #注释会话cookie。 server.session.cookie.domain = #会话cookie的域。 server.session.cookie.http-only =#“HttpOnly”标志为会话cookie。 server.session.cookie.max-age = #...
HAProxy 高级配置选项
LCK 博客
07-01 934
一、HAProxy利用cookie实现会话保持 在没有缓存服务器session共享的情况下,可以使用haproxy插入cookie实现session共享。 #配置选项 cookie name insert indirect nocache name:cookie的key名称,⽤于实现持久连接。 insert:如果客户端请求报⽂没有cookie就插⼊新的cookie到响应报⽂,如第⼀次访问HAProxy。 indirect:不会向客户端发送服务器已经处理过请求的cookie信息,⽐如后端服务器宕机后HA
Spring Security 会话共享
howeres的博客
05-23 492
会话共享 依赖 <!-- session share --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springfram
django-simple-sso实现单点登录
最新发布
05-12
SIMPLESSO_SERVER_TOKEN = 'your-sso-server-token' ``` 3. 配置SSO服务器:在SSO服务器上创建一个应用程序,并将其添加到Django应用程序列表中。 4. 在Django应用程序中使用SSO:在视图函数中使用simplesso....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值