神奇的身份管理者cookie和session

最新推荐文章于 2022-07-06 23:18:35 发布
最新推荐文章于 2022-07-06 23:18:35 发布
阅读量130 收藏
点赞数
分类专栏: 网络编程 HTTP协议 cookie 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asnowdream/article/details/104381551
版权

文章目录

介绍

在我们身边的网络中就充满着它的身影,不信我接下来就说说,我们生活中通常在浏览器淘宝上浏览一个商品不购买,然后打开腾讯视频会有好多的广告推送都是关于那个商品的,那么我们就没有思考过这是什么原因,其实这都是以为一个原因,浏览器会通过每台电脑记录下行为,储存在Cookie和Session中,然后会辨别电脑来达到识别用户,这样一来就神奇的把每个用户行为就记录下来。

什么是Cookie

具体来说cookie机制采用的是在客户端保持状态的方案,通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照生成相应的cookie,通过浏览器按照一定的原则在后台自动发送给服务器的,cookie的内容主要包括:名字,值,过期时间,路径和域,若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。
那什么有是会话cookie呢?
会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享。
原理:
在这里插入图片描述
工作原理:
在这里插入图片描述

什么是Session

具体来说session机制采用的是在服务器端保持状态的方案,服务器使用一种类似于散列表的结构来保存信息,当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识,如果包含则说明已经为此客户创建过session,服务器就会按照session id把这个session检索来应用,如果没有会创建一个,保存方式可以采用cookie,浏览器可以自动按照规则把这个标识送给服务器。

cookie和session的区别

(1) cookie数据存放在客户的浏览器上,session数据放在服务器上。
(2) cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗, 考虑到安全应当使用session。
(3) session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。
(4) 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

session的生命周期

Session存储在服务器端,一般为了防止在服务器的内存中(为了高速存取),Sessinon在用户访问第一次访问服务器时创建,需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session,可调用request.getSession(true)强制生成Session。服务器会把长时间没有活动的Session从服务器内存中清除,此时Session便失效。
Tomcat中Session的默认失效时间为20分钟。调用Session的invalidate方法。有这样的效果就对浏览器有一定要求。
虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。
Session依据该Cookie来识别是否为同一用户。
该Cookie为服务器自动生成的,它的maxAge属性一般为-1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。
注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择"在新窗口中打开"时,子窗口便可以访问父窗口的Session。如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?例如,绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案:URL地址重写。URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(String url)实现URL地址重写,该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。
注意:
TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。

asnowdream
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie/Session机制详解
瞧字不识
11-09 45万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
浏览器用户身份-Cookie【知识篇】
最新发布
问白的博客
04-06 897
HTTP cookie,简称cookie,是用户浏览网站时由网络服务器创建并由用户的网页浏览器存放在用户电脑或其他设备上的小文本文件。浏览器存储这样的信息之后,会为每个请求添加Cookie的HTTP请求头。将Cookie发送回服务器。
身份验证——Cookie&Session&Token&JWT
weixin_44915595的博客
12-17 1193
什么是凭证 在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。 Cookie HTTP是无状态的协议(对于事务处理没有记忆能力,每次客户端与服务器会话完成后,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当
xss利用之获取管理员cookie
weixin_48421613的博客
08-27 3041
xss利用之获取后台管理员cookie 首先需要声明的是,我们这次讲解的小案例是开源的一个环境,并不是盲打xss,也就是说我们是可以在自己的服务器上搭建环境而后进行一系列的测试 现我们在靶场找到存储型(持久型)xss注入,我们该如何通过xss获取超级管理员cookie从而登录后台呢? 通过测试,我们得知在留言板的title(标题 )处存在存储型xss注入,通过后台访问可以执行script代码 - 我们通过观察,得知body(内容)内的script代码被过滤,但是title内的被执行了
web应用中的身份认证:cookiesession、token
yigetutouzai的博客
07-06 1644
HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了CookieCookie实际上是一小段的文本信,Cookies是由服务器产生的。 token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。.........
Django SessionCookie分别实现记住用户登录状态操作
09-16
在Django框架中,有两种主要方法可以实现这一功能:Django SessionCookie。理解这两者的工作原理和如何在Django中使用它们至关重要。 首先,让我们深入了解CookieCookie是由服务器发送到用户浏览器的一小段数据...
cookiesession和java过滤器结合实现登陆程序
09-02
在Web开发中,CookieSession和Java过滤器(Filter)是三个非常重要的概念,它们各自承担着不同的职责,但常常需要结合使用以实现更复杂的业务逻辑,如登录验证。在这个场景下,我们将详细探讨如何利用这三者来构建...
8_cookiesession1
08-08
Cookie适合于存储不敏感的信息和实现轻量级的身份验证,而Session则更适合存储敏感信息和维持更严格的会话管理。在实际开发中,开发者通常会结合两者,利用Cookie的便利性和Session的安全性,来实现最佳的用户体验和...
cookiesession 的区别详解.pdf
12-21
CookieSession 是两种常见的用户身份验证和会话管理机制,它们在Web开发中扮演着重要角色。理解它们的区别有助于优化应用程序的性能和安全性。 Cookie 是一种客户端存储机制,由服务器生成并在HTTP响应头中发送...
CookieSession区别用法.zip
10-25
在Web开发中,CookieSession是两种非常重要的用户状态管理机制。它们被用来跟踪和存储用户的会话信息,确保用户在浏览网站时能够保持登录状态并实现个性化体验。理解它们的区别和用法对于任何Web开发者来说都至关...
cookie和token身份验证
逸尘的专栏
12-18 5894
1. cookie身份验证 用户输入登陆凭据; 服务器验证凭据是否正确,并创建会话,然后把会话数据存储在数据库中; 具有会话id的cookie被放置在用户浏览器中; 服务器验证凭据是否正确,并创建会话; 在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; 一旦用户登出,服务端和客户端同时销毁该会话在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; ...
【PHP基础-8】Cookie机制详解及Cookie身份认证应用案例
m0_64378913的博客
04-06 2377
目录1 Cookie 概述1.1 Cookie 机制1.2 什么是Cookie1.3 Cookie 认证机制1.4 Cookie 属性1.5 Cookie的安全性问题2 Cookie 应用2.1 Cookie 相关操作命令2.2 应用案例实验2.2.1 实验要求2.2.2 实验环境2.2.3 案例代码2.2.4 案例测试3 Cookie攻击与防护3.1 Cookie攻击3.1.1 Cookie捕获/重放3.1.2 恶意 Cookies3.1.3 会话定置3.1.4 CSR
centos7 安装 mongodb3.2.4(单机)
热门推荐
专注于Java架构学习 https://gitee.com/laokouyun https://github.com/KouShenhai
08-30 2万+
小伙伴们,你们好,我是老寇 mongodb安装包:https://pan.baidu.com/s/1swrV9ffJnmz4S0mfkuBbIw 提取码:1111 目录 一、安装过程 1.解压 2.移动到/usr/local/mongodb 3.创建文件 4.编辑 5.启动 一、安装过程 1.解压 tar -zxvf mongodb-linux-x86_64-rhel70-3.2.4.tgz 2.移动到/usr/local/mongodb mv mongodb-linux.
Cookie的用法详解
wanglei_smartfish的专栏
09-08 1957
c# cookie 详细用c# 2009-06-30 12:00:34 阅读1423 评论3   字号:大中小 订阅 删除Cookie Response.Cookies["Cookiename"].Expires = DateTime.Now.AddDays(-1); 用C#如何创建、读取cookie 用C#如何创建、读取cookie: 一、创建cookie,并写入数据:    //创建、
身份认证CookieSession、Token、JWT
qq_28722667的博客
06-29 172
Http是无状态的请求-应答协议。HTTP在1.0版本引入了重要设计在报文中增加了Header属性列表,每个Header都是一个Key/Value键值对,整个Header列表可以被视为一个Map数据结构,Header与请求或响应的正文是互相独立的,并且用户可以灵活扩展。采用了HTTP作为通信协议的分布式系统天然具备了无侵入性的基础设施能力全面改进的优势。想要让HTTP请求有状态,可以通过header上的cookie。HTTP Cookie新增的两个扩展性的HTTP Header,其中一个是Set-Cooki
浅谈用户行为分析之用户身份识别:cookie 知多少?
weixin_33845477的博客
10-25 799
2019独角兽企业重金招聘Python工程师标准>>> ...
[HTTP趣谈]身份认证(Cookies vs Tokens)
皮皮的博客
03-13 839
[HTTP趣谈]身份认证(Cookies vs Tokens) 只要是需要登录的系统,就必然涉及到“身份验证”,那么,前端是如何配合后台做身份验证呢? 一般由两种模式,Cookies和Tokens。前者是传统模式,后者乃新起之秀。先看一张对比图,大致了解二者差异: cookie-vs-token.png 共同点 都是利用HTTP request header来传递身份信息 都需...
CookieSession、Token、JWT
消极的人永远是对的,积极的人选择勇往直前
10-25 342
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登录
Cokie及Session
05-18
总的来说,CookieSession是Web开发中非常重要的机制,对于初学者而言,掌握它们的使用方法和原理是非常有帮助的。同时在实际工作中,需要注意保护用户的隐私和安全,并且要考虑跨域和安全性的问题。掌握Cookie和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值