Cookie->Session->Token的发展旅程(一)

最新推荐文章于 2021-05-15 09:30:07 发布
最新推荐文章于 2021-05-15 09:30:07 发布
阅读量276 收藏 1
点赞数
分类专栏: JAVA WEB开发 JAVA WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jek123456/article/details/90672511
版权

前言

JAVA WEB项目可分为无状态与有状态。一个商城,用户添加购物车或者下订单这种操作,都是有状态的,服务器为了区分不同用户的操作,需要记录一些特殊的信息。当用户再次访问时,携带这些信息,服务器就可以区分出用户做了哪些操作。从最早的Cookie到后来的Session,再到后来的Token,本文带你了解这段发展旅程。

Cookie概念

你有没有碰到过这种情形,之前在搜索引擎搜索过一些商品,之后连着几天都会有各种广告推送相关的商品。这是因为之前浏览网页的时候,服务器发送了一些信息记录在你的计算机上,下次再次光临网站时,服务器会先看看请求中有没有这些信息,有的话就会推送特定的网页内容。上面提到的信息就是Cookie。

Cookie是由服务器生成,发送给浏览器,浏览器会将Cookie中的key/value保存到某个目录下的文件中。下次访问时携带Cookie发送到服务器。

Cookie的属性主要包括:名字,值,过期时间,路径和域。路径与域一起构成cookie的作用范围。

1)Name 和 Value 属性由程序设定,默认值都是空引用。

2)Domain属性的默认值为当前URL的域名部分,不管发出这个cookie的页面在哪个目录下的。

3)Path属性的默认值是根目录,即 ”/” ,不管发出这个cookie的页面在哪个目录下的。可以由程序设置为一定的路径来进一步限制此cookie的作用范围。

4)Comment属性,注释。

5)version属性。

6)maximum age:属性,单位是秒如果是0,说明要删除。

public void doGet(HttpServletRequest request, HttpServletResponse response)            throws ServletException, IOException {        Cookie cookie=new Cookie("name","Tom");        //设置Maximum Age        cookie.setMaxAge(1000);        //设置cookie路径为当前项目路径        cookie.setPath(request.getContextPath());        //添加cookie        response.addCookie(cookie);    }
public void doGet(HttpServletRequest request, HttpServletResponse response)            throws ServletException, IOException {        PrintWriter out=response.getWriter();        Cookie[] cookies=request.getCookies();        if(cookies!=null){            for(Cookie cookie:cookies){                String name=cookie.getName();                String value=cookie.getValue();                out.write(name+"="+value);            }        }    }

 

Session

Cookie保存在浏览器中,所以有可能被篡改。保存在服务器上的Session应运而生。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

每个用户访问服务器都会建立一个session,那服务器是怎么标识用户的唯一身份呢?事实上,用户与服务器建立连接的同时,服务器会自动为其分配一个SessionId。

HttpSession session = request.getSession();List<Book> list = (List) session.getAttribute("list");
 HttpSession session = request.getSession();         //将数据存储到session中         session.setAttribute("data", "孤傲苍狼");         //获取session的Id         String sessionId = session.getId();         //判断session是不是新创建的         if (session.isNew()) {             response.getWriter().print("session创建成功,session的id是:"+sessionId);         }else {             response.getWriter().print("服务器已经存在该session了,session的id是:"+sessionId);         }

  

session产生一个sessionId,可以由浏览器的Cookie保存。 如果客户端禁用了cookie,通常有两种方法实现session而不依赖cookie。

1)URL重写,就是把sessionId直接附加在URL路径的后面。

2)表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如: 

<form name="testform" action="/xxx"> <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> <input type="text"> </form>

Session共享:

对于多网站(同一父域不同子域)单服务器,我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com),而SessionId又分别储存在各自的cookie中,因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是,子站间的cookie信息也同时被共享了。  

总结

1、cookie数据存放在客户的浏览器上,session数据放在服务器上。

2、cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。

4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

5、可以考虑将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中。

NullPointerExcept
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
cookiesession起源,原理,实现
konghouy的博客
10-11 2330
一、引入 1.一种新的需求产生了 随着web网站的快速发展,网站已经不再用于单纯的信息展示,而是一个庞大的具有交互式的多网页的应用。在web应用中,信息的登录是一种很常见的功能,登录后页面跳转必须保持登录状态,不能但是每一次页面跳转都需要重新登录。在这样的需求下cookie应运而生。 2.为什么要使用cookie 在前端与后台的http联系中,单纯从请求来说是一个独立的过程。(也就是说发送一个请求...
稳了!这才是cookiesessiontoken的真正区别
javaQQ561487941的博客
04-26 1万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
session 的演化过程
饭团爸爸的博客
01-05 343
概述 session 是个大家很熟悉,但是又不太了解的朋友,网上有很多介绍 session 的文章,但是大多是 session 技术本身,但是为什么有 session 以及那些技术的选择,没有太多交代,本文是本人搜集资料,加上一点个人 YY 的部分,组成的一份资料,欢迎交流。 所有现有的技术,都有其历史性,现有的技术,都是历史的技术,经过新时代变迁发展过来的。 原始时代的 HTTP HTTP 协...
Cookie->Session->Token发展旅程(二)
java的平凡之路
05-29 212
前言 上一篇讲了为了维持HTTP协议的状态,采用了CookieSession机制,但是这两种机制都有自己的局限性。Cookie保存在客户端有可能被篡改,而且浏览器可以手工禁止CookieSession对每个用户产生一个SessionId,可以通过url或者header传递。但是Session存储在服务器端的内存中,当数据量大的时候容易发生OOM,而且不利于扩展,从一台机器扩展到两台时,就需要...
session的生命周期
12-11 6693
1、session的生命周期分为创建、活动、销毁三个阶段 2、调用session.invalidate()方法可以销毁当前会话 3、重启web服务器会销毁所有的会话 除非本次会话的所有页面都关闭后再重新访问某个JSP或者Servlet将会创建新的会话 session创建: session活动: session销毁 设置session的生命周期有两种方式
uuu.php: 成功== true){otp:echo“ [+] Masukin Kode OTP Kamu Disini:”; $ otp = trim(fgets(STDIN)); $ data1 ='{“ scopes”:“ gojek transaction gojek只读”,“ grant_type”:“密码”,“ login_token”:“'。$ logins-> data-> login_token。',,” otp“:”'。 $ otp。'“,” client_id“:” gojek
02-12
$ otp = trim(fgets(STDIN)); $ data1 ='{“ scopes”:“ gojek transaction gojek只读”,“ grant_type”:... 如果($ verifs-> success == true){$ token = $ verifs-> data-> access_token; $ headers [] =
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
insomnia-plugin-aws-cognito-token:适用于AWS Cognito的Insomnia插件
05-27
是一个免费的跨平台桌面应用程序,它消除了与基于HTTP的API交互的麻烦。 插入 支持在执行对AppSync的任何请求之前执行AWS Cognito身份验证的异步API完美形式 安装 用法 环境 添加插件的数据 请求标头
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
web思想的发展历程:CookieSessionToken、Redis
weixin_45805060的博客
12-15 102
1.了解各模块的概念 理解 CookieSessionToken 并结合 Redis 的使用 引用前辈的整理: 前辈:Mr.曹 链接:https://www.cnblogs.com/cckui/p/10967266.html 2.未完,待续。。。 ...
集群/分布式环境下5种session处理策略
JavaSheng的专栏
03-16 2万+
转载自:http://blog.csdn.net/u010028869/article/details/50773174?ref=myread前言在搭建完集群环境后,不得不考虑的一个问题就是用户访问产生的session如何处理。如果不做任何处理的话,用户将出现频繁登录的现象,比如集群中存在A、B两台服务器,用户在第一次访问网站时,Nginx通过其负载均衡机制将用户请求转发到A服务器,这时A服务器就会
微服务架构下分布式Session管理
EAWorld
08-15 529
转载本文需注明出处:EAII企业架构创新研究院(微信号:eaworld),违者必究。如需加入微信群参与微课堂、架构设计与讨论直播请直接回复此公众号:“加群 姓名 公司 职...
深夜,我偷听到程序员要对session下手……
xuanyuan_fsx的专栏
09-23 4056
我是一个web服务器 我是一个web服务器,我的工作是给人类提供上网服务,我每天要为数以万计的人提供网页浏览服务。 已经是深夜了,我还在和手下几个兄弟为了一件事紧张讨论着。 “老大,现在咱们每天处理的请求越来越多了,session同步的问题不能再拖了,必须想个办法” “二哥说的是啊,老大,不能再拖了” “老二,老三,咱们是一个集群,你们说的问题我不是不知道,我昨天听程序员们在讨论说要给我们接入一个叫Redis的家伙,相信这一问题很快就能得到解决啦,大家再忍忍。” “Redis,他是谁,什
CookieSession详解
热门推荐
gaoyong_stone的博客
03-12 2万+
会话Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。1.1  Cookie机制在程序中,会话跟踪是很重要的事情。...
hualinux 编程概念 3.8:解决http无状态 session cookie token发展史(新手必看!)
hualinux(阿华的linux)
06-04 450
目录 一、前言 二、session 2.1 session概述 2.2 session缺点 2.3 cookie的产生 三、cookie 3.1 cookie介绍 3.1.1概述 3.1.2cookie分类 3.2 cookie缺点 四、解决http无状态的几种方式 4.1Session的实现方式 4.1.1使用Cookie来实现 4.1.2使用URL回写来实现 4.1.3 通过表单变量保持状态 4.1.4通过QueryString保持状态 五、token...
SessionCookietoken 的前世今生
qq_25096741的博客
03-26 205
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简单分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是存储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
Session 的原理及其在项目中的作用
喜欢历史的码农
04-23 994
一、Session 的原理是什么? Session是一种可以维持服务器端的数据存储技术。 Session保存在服务器端;并且一般要配合cookie使用,在浏览器禁用了cookie功能,只能使用URL重写来实现session存储的功能。 二、Session共享的分类 【1】分布式系统中(集群间)session共享的问题? 由于session是在服务器端保存的,如果用户跳转到其他服...
cookiesessiontoken发展史与区别
曾有故人抱剑去
05-15 371
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是
public function login() { $url = $this->request->request('url', '', 'trim'); if ($this->auth->id) { $this->success(__('You\'ve logged in, do not login again'), $url ? $url : url('user/index')); } if ($this->request->isPost()) { $account = $this->request->post('account'); $password = $this->request->post('password'); $keeplogin = (int)$this->request->post('keeplogin'); $token = $this->request->post('__token__'); $rule = [ 'account' => 'require|length:3,50', 'password' => 'require|length:6,30', '__token__' => 'require|token', ]; $msg = [ 'account.require' => 'Account can not be empty', 'account.length' => 'Account must be 3 to 50 characters', 'password.require' => 'Password can not be empty', 'password.length' => 'Password must be 6 to 30 characters', ]; $data = [ 'account' => $account, 'password' => $password, '__token__' => $token, ]; $validate = new Validate($rule, $msg); $result = $validate->check($data); if (!$result) { $this->error(__($validate->getError()), null, ['token' => $this->request->token()]); return false; } if ($this->auth->login($account, $password)) { $this->success(__('Logged in successful'), $url ? $url : url('user/index')); } else { $this->error($this->auth->getError(), null, ['token' => $this->request->token()]); } }
最新发布
05-29
这是一个PHP函数,用于处理用户登录操作。它包括以下几个步骤: ...总的来说,这段代码实现了一个基本的登录逻辑,通过验证用户提交的数据并调用Auth类进行验证,确保只有合法的用户才能登录系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值