Session原理

最新推荐文章于 2023-07-28 11:57:42 发布
最新推荐文章于 2023-07-28 11:57:42 发布
阅读量460 收藏
点赞数
分类专栏: corejava 文章标签: session cookies 原理 jsessionid http

无状态的 HTTP 协议

还记得每当入门一门 Web 端语言的进行服务器端开发的时候,仅次于「Hello World」的 demo 就是「登录功能」了。实现登录功能很简单,验证客户端发送过来的账户和密码,如果通过验证就把用户塞进 session 中,然后在后续的访问中,只需检测 session 是否有这个用户就能知道用户是否登录了。Session 的中文翻译为:「会话」,只属于某一个客户端和某一个服务器端沟通的工具。但,计算机网络老师又说了,HTTP 协议是无状态的,怎么能记录用户的登录状态呢?
鉴于 HTTP 是无状态协议,之前已认证成功的用户状态是无法通过协议层面保存下来的,既,无法实现状态管理,因此即使当该用户下一次继续访问,也无法区分他和其他的用户。于是我们会使用 Cookie 来管理 Session,以弥补 HTTP 协议中不存在的状态管理功能。

利用 Cookie 管理 Session


Session 管理及 Cookie 状态管理

  • 步骤 1:客户端把用户 ID 和密码等登录信息放入报文的实体部分,通常是以 POST 方法把请求发送给服务器。

  • 步骤 2:服务器会发放用以识别用户的 Session ID。通过验证从客户端发送过来的登录信息进行身份验证,然后把用户的认证状态与 Session ID 绑定后记录在服务器端。向客户端返回响应时,会在首部字段 Set-Cookie 内写入 Session ID。

  • 步骤 3:客户端接收到从服务器端发来的 Session ID 后,会将其作为 Cookie 保存在本地。下次向服务器发送请求时,浏览器会自动发送 Cookie,所以 Session ID 也随之发送到服务器。服务器端可通过验证接收到的 Session ID 识别用户和其认证状态。

为 Cookie 服务的 HTTP 首部字段

  • Set-Cookie
  • Cookie
Set-Cookie

服务器管理状态使用到的字段,用于响应首部
一则响应首部的 Set-Cookie 字段:

Set-Cookie: status=enable; expires= Tue, 05 Jul 2011 07:26:31 GMT; path=/; domain=.hackr.jp;

Set-Cookie 字段的属性:

属性 说明
NAME=VALUE 赋予 Cookie 的名称和其值(必须项)
expires=DATE Cookie 的有效期(若不明确指定则默认为浏览器关闭前为止)
path=PATH 将服务器上的文件目录作为 Cookie 的适用对象(若不指定则默认为文档所在的目录)
domain=域名 作为 Cookie 适用对象的域名(若不指定则默认为创建 Cookie 的服务器的域名)
Secure 仅在 HTTPS 安全通信时才会发送 Cookie
HttpOnly 加以限制,使 Cookie 不能被 Javascript 脚本访问
Cookie

首部字段 Cookie 会告知服务器,当客户端想获得 HTTP 状态管理支持时,就会在请求中包含从服务器接收到的 Cookie。接收到多个 Cookie 时,同样可以以多个 Cookie 形式发送。

session登录认证方案--登陆状态的服务端存储(附上node原生开发代码)
qq_45189315的博客
04-08 353
1.原理: session登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。 以后访问其他页面,自动从cookie中取到session_id,再从session中取认证信息。相较于客户端cookie登陆认证方案,服务端存储登陆状态的话,可以提升数据的安全性, 也能够存储更多的内容. 2.如何通过Session来存储登录状态 2.1给每一个用户分配一个无关紧要的值session_id作为为一个标识放到cookie中 2.2在服
session 认证机制
是阿瑶的博客呀~
10-11 274
1.HTTP 协议的无状态性 HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态 2. 如何突破 HTTP 无状态的限制 对于超市来说,为了方便收银员在进行结算时给 VIP 用户打折,超市可以为每个 VIP 用户发放会员卡. 注意:现实生活中的会员卡身份认证方式,在 Web 开发中的专业术语叫做 Cook 3. 什么是 Cookei Cookie 是存储在用户浏览器中的一段不超过 ...
session登录认证原理
你必须十分努力,才能看起来毫不费力!
10-28 966
session的根本原理及安全性
热门推荐
白一梓的专栏
05-25 2万+
yunnysunny 退出账号 当前文档 删除文档导出 Markdown导出 PDF 系统 设置下载离线客户端使用说明快捷帮助切换至免费版 Unsaved session的安全性对于vireio若干问题的解答直播登录验证文档关于淘宝同学接入的若干问题flashvar参数设置flashvar参数设置
session原理
02-24
session原理 session原理 session原理 session原理 session原理
PHP的cookie与session原理及用法详解
10-16
本文将深入探讨这两种技术的原理、用法以及PHP中操作它们的方法。 首先,理解cookie的产生背景。由于HTTP协议是无状态的,服务器无法记住两次请求之间的关联,为了解决这个问题,cookie应运而生。cookie存储在...
Nodejs 和Session 原理及实战技巧小结
10-19
Node.js是一种基于Chrome V8引擎的JavaScript运行...以上展示了如何在Node.js环境下使用Session进行用户会话管理的原理和实战技巧。这些知识可以帮助开发者更好地理解和运用Node.js处理Web应用中的用户认证与状态保持。
SpringSession原理
isbn0123的博客
06-15 680
Session原理 浏览器第一次访问服务器,登录成功后服务器会保存一个session对象(可看成map对象),session对象里以键值对的方式保存了用户的登录信息,并且每一个session对象都会对应一个独特的sessionId 登录成功后服务器会返回一个JsessionId=xxx的Cookie给浏览器,浏览器下次访问时带上这个cookie,服务器就可以根据sessionid判断用户有没有登录。 session共享问题 服务器发回来的cookie默认作用域domain是本服务器域名,例如让认证服
session 实现原理
回到未来。。。
07-06 1171
首先让我们来看看,服务器是如何来维护session的。由于http是无状态协议,所以web服务器为每一个访问的客户端生成一个惟一id,客户端将会保存这个id,每次请求的时候服务端都会验证这个id,以便区别是否同一个sessionsessionid在客户端的保存有两种方式。一般来说,如果客户端没有禁止cokies的话,服务器会自动将这个sessionid保存到cokies里面。如果客户端浏览器禁止
使用session判断用户登录用户权限(超简单)
10-27
本篇文章是对session判断用户登录用户权限进行了详细的分析介绍,需要的朋友参考下
基于 session 的验证码登录原理
m0_50786325的博客
05-20 708
基于 session 的验证码登录原理 业务流程 一、发送验证码 二、手机号验证码登录、注册 三、校验登录状态
session的工作原理,及session实现登录验证示例
最新发布
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3807
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
基于session认证原理是怎样的?
fly_zhaohy的博客
01-14 1843
  用户登录认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。 ...
用户认证机制之session认证的原理和缺点
魏波
10-12 1612
当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Sessionsession机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。(2)基于session认证的认证方式,可以更好的在服务端对会话进行控制,且安全性较高。
用户认证方式 session原理 session操作 通用配置 引擎配置
weixin_30556959的博客
04-10 144
用户认证方式 cookie 特点:cookie是保存在用户浏览器端的键值对 优点:数据存在在客户端,服务器压力小 缺点:敏感信息可以被其它用户发现 总结:基本cookie做用户验证时,敏感信息不适合放在cookie中 默认超时时间:关闭浏览器就超时 session 特点:session是保存在服务器端的键值对 存储:可以存放到缓存、文件、内存、数据库,...
Session原理及验证码案例
星空之尘的博客
08-18 909
Session
【Node.js】session认证原理和JWT认证原理
qiaoyangla的博客
08-22 431
http协议的无状态性 指的是客户端的每次http请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次http请求的状态。可以用cookie突破http的无状态性。 cookie在身份认证中的作用:客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的cookie,客户端会自动将cookie保存到浏览器中。随后,在客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。
使用cookie和session实现登录(简单原理解析)
Jqy_111的博客
06-13 5286
cookie:浏览器在客户端电脑硬盘中开辟的一块空间,主要用来存储服务端数据(比如sessionId)。 cookie中的数据是以域名的形式进行区分的。 cookie中的数据是有过期时间的超过时间会被浏览器自动删除。 cookie中的数据可以随着请求被发送到服务器端。 客户端第一次向服务器端发送请求时是没有cookie的,请求后服务器端会在cookie中存入一些数据。下次在访问相同的服务器就会带上cookie中的数据。 session:实际上是一个对象,存储在服务器端的内存中,在session对象中也可以
JavaWeb Session原理与Cookie关系探究
总结来说,JavaWeb session原理分析涉及了HTTP协议、cookie、session ID的生成与管理,以及如何在服务器端利用session存储用户状态。开发人员需要理解这些基本概念,以便在实际项目中有效地实现用户会话管理和状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值