本文深入探讨了Cookie和Session的概念、工作原理及其在HTTP交互中的角色。Cookie是客户端存储数据的方式,用于跟踪用户状态,而Session是服务器端存储用户信息的机制。两者常配合使用,但并非必须。安全方面,SessionId的时效性和设备约束可防止非法访问。Servlet API提供了管理和操作Cookie和Session的方法。
Cookie和Session
Cookie是浏览器给HTTP协议提供的一个持久化存储数据的方案(由于当前浏览器站在安全的角度考虑,不敢让页面直接来访问文件系统)
Cookie是存储的键值对,不能存复杂的对象,只能存字符串
Cookie是按照域名来进行分类存储的
从哪来:数据来自于服务器,服务器代码想让浏览器存啥,就返回啥,通过在HTTP响应报文中header加入Set-Cookie
到哪去:回到服务器去,每次给服务器发送的HTTP请求,就会带上之前存储的Cookie信息(在请求header中带有Cookie属性)
Cookie的一个典型应用:保存用户的身份信息:
如何具体实现:
可以让服务器把用户的所有信息通过Set-Cookie返回给浏览器,直接在浏览器保存
(不推荐这么做,因为cookie是可以手动清除的,而且敏感信息通过网络传输不安全)
更典型的实现,是在服务器这边保存用户的详细信息,使用键值对(称为session)来进行保存,键是服务器自动生成的一串唯一的字符串(就是sessionId),值就是用户的详细信息了
session会话的本质就是一个 “哈希表”, 存储了一些键值对结构. key 就是令牌的 ID(token/sessionId), value 就 是用户信息(用户信息可以根据需求灵活设计).
Cookie 和 Session 的区别
-
Cookie 是客户端的机制. Session 是服务器端的机制.
-
Cookie 和 Session 经常会在一起配合使用. 但是不是必须配合.
-
完全可以用 Cookie 来保存一些数据在客户端. 这些数据不一定是用户身份信息, 也不一定是 token / sessionId Session 中的 token sessionId 也不需要非得通过 Cookie / Set-Cookie 传递
Servlet对于Cookie和Session提供的API
getSession()首先会尝试取出Cookie中的sessionId,然后拿着sessionId去服务器内部维护的哈希表里查对应的结果,如果能查到,就会返回一个HttpSession对象(这个对象就可以根据程序员的需要存储一些自定义的数据);如果获取不到sessionId或者拿着sessionId没有查到value,这时候有两种情况,1. 直接返回null(参数传false),2. 创建一个新的HttpSession对象作为value生成一个新的sessionId作为key把这个键值对存入哈希表里(参数是true)
HttpSession是服务器上的对象,自然这里存的数据也就是在服务器中,Cookie是在客户端存的,Session是在服务器存的,SessionId客户端和服务器都存了
getCookiest()这个方法就是获取到请求中的Cookie的所有键值对,返回结果是一个Cookie[],每个Cookie就是一个键值对
这个方法会在响应报文中添加Cookie,你想让浏览器的cookie存啥,就通过这里写进去,这里的内容就会被放到响应报文的Set-Cookie字段中
问:如果黑客截获了sessionId,不就能登录了吗
这个确实是这样,但是有解决办法,给sessionId加上“时间约束”,同一个用户,登录之后得到的session只能在一定时间内有效,超出时间就需要重新登录,另外还可以给sessionId加上“空间约束”,必须是通过哪个设备使用的这个sessionId才有效,换了个设备,就需要重新登录
扫一扫
423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
