理解Cookie和Session机制 —— 通过Session实现登陆保持

最新推荐文章于 2022-12-23 22:25:43 发布
最新推荐文章于 2022-12-23 22:25:43 发布
阅读量719 收藏 5
点赞数 1
分类专栏: Spring Boot 后端其它 文章标签: session 登陆保持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzhenv5/article/details/104494823
版权

文章目录

前言

通过Session实现登陆保持的原理很简单,保存在服务端中的Session可以保存用户名和id等一些信息,在用户登陆成功后,将这些信息保存在Session中即可,服务端会自动在创建session的时候将该session的id通过响应头的方式返回给客户端。客户端在下次请求的时候就会自动带上该sessionId(cookie名未JSSSIONID),服务端就会通过该id找到保存在服务端的seesion,取得该用户的id来识别用户并判断该用户是否登陆成功。

效果

在这里插入图片描述
在这里插入图片描述

服务端代码

import com.test.common.PJCommon;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Controller
@RequestMapping("/sLoginDemo")
public class SloginController {
    /***
     * 测试登录
     * 这里假设用户(userName=admin,password=1111)
     */
    @RequestMapping(value = "/login.do", method = RequestMethod.POST)
    @ResponseBody
    public Map login(HttpServletRequest request, HttpServletResponse response) {
        Map<String,Object> retMap = new HashMap<String,Object>();
        Map<String,String> paramMap = PJCommon.getRequestParamMapAndSessionInfo(request);
        try {
            String account = paramMap.get("account").toString(); // 获取account参数
            String password = paramMap.get("password").toString(); // 获取password参数

            /*
             * 获取或者创建Session
             * ajax请求会自动带上名为"JSESSIONID"的cookie(如果客户端有这个cookie的话),该值就是服务端创建session后,返回客户端的seesionId
             * getSession会根据这个id查询服务端是否有这个session,如果有的话就会获取该session,如果没有的话就会新建一个新的session
             * Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。
             * 用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。
             * */
            HttpSession session = request.getSession(); // 获取Session对象
            Object personObj = session.getAttribute("person");
            // 判断personObj是否存在,如果存在则不是新建的session,直接返回账户信息即可
            if (personObj != null) {
                retMap.put("state", 0);
                retMap.put("person", personObj);
                retMap.put("message", "session登陆成功");
                return retMap;
            }
            // 如果不存在,则是新建的session,需要重新验证账号密码
            if (!"admin".equals(account) || !"1111".equals(password)) {
                session.invalidate(); // 作废session
                // 账号密码校验不通过
                retMap.put("state", -1);
                retMap.put("message", "账号/密码错误");
                return retMap;
            }
            // 验证通过
            Map personInfo = new HashMap();
            personInfo.put("name", "huzhenv5");
            personInfo.put("age", "18");
            session.setAttribute("person", personInfo); // 设置Session中的属性
            // 设置Session维持时间,单位是秒(0或者负数表示session永远不超时)
            // spring boot 可以在配置文件中配置默认的session超时时间
            // 通过以下代码设置session超时时间,优先级更高
            session.setMaxInactiveInterval(10);

            retMap.put("state", 0);
            retMap.put("person", personInfo);
            retMap.put("message", "账号/密码登陆成功");

        } catch (Exception e) {
            e.printStackTrace();
            retMap.put("state", -2);
            retMap.put("message", "登陆失败");
        }
        return retMap;
    }

    /***
     * 注销登录
     */
    @RequestMapping(value = "/logout.do", method = RequestMethod.POST)
    @ResponseBody
    public Map logout(HttpServletRequest request, HttpServletResponse response) {
        Map<String,Object> retMap = new HashMap<String,Object>();
        Map<String,String> paramMap = PJCommon.getRequestParamMapAndSessionInfo(request);
        try {
            HttpSession session = request.getSession(); // 获取Session对象
            session.invalidate(); // 作废session
            // 注销成功
            retMap.put("state", 0);
            retMap.put("message", "注销成功");

        } catch (Exception e) {
            e.printStackTrace();
            retMap.put("state", -2);
            retMap.put("message", "注销失败");
        }
        return retMap;
    }

}

前端登陆页脚本

// 页面初始化方法
$(document).ready(function(){
    // login(false);
});

function doLogin() {
    login(true);
}

/**
 * 登陆方法
 * @param showAlter 失败是否报错
 * */
function login(showAlter) {
    var account = $('#accountInput').val();
    var ps = $('#psInput').val();
    // 请求
    $.ajax({
        type : 'POST',
        data: {
            account: account,
            password: ps
        },
        dataType: 'json',
        url : "../../sLoginDemo/login.do",
        success: function(res) {
            if (res.state == 0) {
                console.log(res.message);
                location.href = '../sMain/sMain.html'
            } else {
                showAlter && alert('失败:' + res.message);
            }
        },
        error: function(err) {
            showAlter && alert('错误:' + err.message);
        }
    })
}

前端注销页脚本

function logout() {
    $.ajax({
        type : 'POST',
        dataType: 'json',
        url : "../../sLoginDemo/logout.do",
        success: function(res) {
            if (res.state == 0) {
                location.href = '../sLogin/sLogin.html'
            } else {
                alert('失败:' + res.message);
            }
        },
        error: function(err) {
            alert('错误:' + err.message);
        }
    })
}

和通过Cookie方式实现的比较

Cookie优点:

  1. 不占用服务端内存
  2. 分布式的时候不用考虑session无法共享的问题
  3. 由于验证信息保存在客户端,可以将登陆状态保持较长时间

Cookie缺点:

  1. 每次请求Cookie内容较多,增请求量
  2. 如果存储内容过多,容易超过浏览器对Cookie大小的限制
  3. 每次请求均需要进行安全验证

Session优点:

  1. 客户端发送的Cookie仅有一个JSESSIONID,该部分请求量小
  2. 用户信息保存在服务端,可以直接取用,不用每次请求都进行验证

Session缺点:

  1. 高并发情况,占用大量的服务端内存
  2. 分布式的时候session不能共享
  3. 不通过其它方式辅助的话,由于session占用服务端内存,登陆状态无法保持较长时间

Git

该工程通过spring boot实现,完整的工程可以访问笔者的GitHub

GitHub链接:https://github.com/huzhen-v5/spring-boot-swagger
分支名:logindemo

huzhenv5
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php通过session防url攻击方法
10-25
主要介绍了php通过session防url攻击方法,可通过session获取用户名再传入URL来防止URL攻击,是非常实用的技巧,需要的朋友可以参考下
11_JavaWeb——Cookie&Session案例资源
05-01
此资源是我的博客11_JavaWeb——Cookie&Session中的案例资源,关于比较难以编写的工具类我已在博客中给出,下载此资源后可直接运行,实现登录注册功能。其中登录功能能够记用户使得下次登录不需要重复输入用户名和密码,注册功能实现了图片验证码验证注册,防止了恶意注册。希望有所帮助
SpringBoot 登录 session
quanquan_21的博客
07-20 2825
下面演示的是SpringBootSession 实现登录、注销功能。 登录账号、密码验证通过后,将登录信息存入session中: //获取session HttpSession session = ((ServletRequestAttributes) RequestContextHolder .getRequestAttributes()).getRequest().getSession(); // 在sesssion
使用spring boot+Thymeleaf+HttpSession登录模块的后端代码
BBX__XB的博客
01-19 480
登录模块的后端代码段 代码目录结构: 在这里使用thymeleaf模板引擎 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> .
Spring boot+mybatis+thymeleaf 实现登录注册,增删改查
weixin_30919235的博客
04-08 2005
本文重在实现理解,过滤器,业务,逻辑需求,样式请无视。。 项目结构如下 1.idea新建Spring boot项目,在pom中加上thymeleaf和mybatis支持。pom.xml代码如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0...
Springboot 整合 Spring Security 配合thymeleaf,mysql实现登录
qq_42943161的博客
08-19 447
原理: 用户首次登录发送请求成功通过过滤器后会被生成一个token,这个token和用户名一一对应,且会被放入Cookie与数据库中,用户在之后的登陆请求中携带的Cookiee的token会与数据库中的比对,成功的话会调用UserDetailsService获得用户的信息并返回,至此结束。 ​ 仔细想想会发现,这种比对方法在Spring security中十分常见,不去解密而是利用hash的一致性,单向加密对比,防止了由于秘钥泄露造成的安全问题。(个人理解) ​ 使用mysql 所以不讲解内存方法 ​
springboot整合thymeleaf实现简单的登录功能-单点登录(三)
huangpf_vcx
05-31 3631
单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 原理 有一个独立的认证中心,只有认证中心才能接受用户的用户名和密码等信息进行认证,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,当用户提供的用户名和密码通过认证中心认证后...
SpringBoot 学习笔记09之Thtmeleaf的使用与模拟登录
Leviathan的博客
02-27 749
@{} 使用链接的时候使用该表达式 ${} 使用请求域、session域,对象等值 三个不常用的。 *{}、#{}、~{}。 如果变量没有在标记内,需要用到行内用法。需要在表达式的两边加上两个中括号包围。 模拟登录 准备 新建项目的时候需要勾选的资源: 将需要使用的静态资源放到static文件夹下面: 将需要使用的页面放到templates文件夹下面: 登录部分的代码 为了登录,我们需要新建一个User类。
springboot通过session实现单点登入
nanxiang11的博客
12-01 2223
效果图走起 另外开一个浏览器 原来的页面刷新一下 发现他已经被挤下线 代码部分 package com.nx.j2ee.service; import org.springframework.stereotype.Service; import javax.servlet.http.HttpSession; import java.util.HashMap; import java.util.Map; @Service public class OnlineService { priv
Session实现登录springboot项目)
老照片
09-07 2435
Session实现登录springboot项目)
理解 Cookie,Session 机制 && 实现用户登录
xaiobit_hl的博客
10-24 1546
理解 Cookie,Session 机制 && 实现用户登录
SpringBoot项目搭建+登录功能实现(小结)
程序前行者的博客
12-23 4139
【代码】SpringBoot项目搭建+登录功能实现
Python Web框架之Django框架cookiesession用法分析
01-20
本文实例讲述了Python Web框架之Django框架cookiesession用法。分享给大家供大家参考,具体如下: part 1 概念 在Django里面,cookiesession都记录了客户端的某种状态,用来跟踪用户访问网站的整个回话。 两者...
CookieSession的介绍即使用————Cookie
01-08
作用: Cookie是一种会话技术,用来将会话过程中的数据保存到用户的浏览器中,从而使浏览器和服务器更好的实现数据交互。 原理: 用户通过浏览器访问web服务器时,服务器会给客户端发一些信息,这些信息保存在Cookie中...
java web-cookie session(csdn)————程序.pdf
12-01
java web-cookie session(csdn)————程序
PHP中的session永不过期的解决思路及实现方法分享
01-21
我们前期开发了一个只有公司客服人员才能使用的系统——有限的几个客服人员。就是这有限的几个客服人员前几天突然就提出这样的问题:我们每隔很短一段时间 (半个小时不操作页面),正着急解决客户问题的时候,系统却...
Davinci可视化平台 —— 导入idea,利用idea开发后端部分代码
huzhenv5的博客
02-09 9949
Davinci 是一个 DVaaS(Data Visualization as a Service)平台解决方案,面向业务人员/数据工程师/数据分析师/数据科学家,致力于提供一站式数据可视化解决方案 Davinci源码地址: https://github.com/edp963/davinci Davinci源码大概分为三部分: 采用React的前端工程 采用Spring Boot的后端工程 采用...
Spring Boot 1.5.8集成Swagger2 + YApi —— 集成Swagger2
huzhenv5的博客
01-30 2309
前后端项目分离之后,前端和后端的项目开始由不同的成员来进行开发。为了减少成员之间的沟通成本,一个好的Api文档就变得尤为重要。 如果Api文档完全由后端开发成员手动编辑和发布,随着开发的推进,接口变得原来越多,及时地更新和发布文档的工作将变得极其的复杂和占用时间,不利于项目的进展。 Swagger的产生就解决了如上的问题,集成Swagger后,后端开发成员只需要编写少量的注释即可在线生成清晰明朗的...
Spring Boot 1.5.8集成Swagger2 + YApi —— Swagger常用注解说明
huzhenv5的博客
01-31 1574
常用注解汇总: @Api:用在请求的类上,表示对类的说明 tags="说明该类的作用,可以在UI界面上看到的注解" value="该参数没什么意义,在UI界面上也看到,所以不需要配置" @ApiIgnore:用在请求的类或者方法上,表示这个类后者方法被忽略 @ApiOperation:用在请求的方法上,说明方法的用途、作用 value="说明方法的用途、作用" ...
实现cookiesession机制
最新发布
04-22
好的,关于cookiesession机制实现,一般情况下我们会采用以下步骤: 1. 服务器向客户端发送一个包含session ID的cookie。 2. 当用户发送新请求时,浏览器会自动将cookie信息发送至服务器端。 3. 服务器根据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值