深入了解Cookie和Session

于 2024-08-30 15:10:08 发布
阅读量439 收藏 8
点赞数 13
分类专栏: Java Web 文章标签: web java 开发语言 http web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dawn191228/article/details/141684234
版权

目录

什么是会话?

  • 用户打开浏览器在浏览器中打开超链接进入web资源最后关闭的整个流程称为会话
  • 有状态会话:能够记录用户的访问状态,知道之前有谁访问过,当前是谁在访问
  • 无状态会话:不记录访问信息,不知道每次访问的用户是否相同

1

HTTP超文本传输协议

http是无状态的,不会保存每次提交的信息,因此我们需要保存会话的技术,如果将状态保存在服务端,则称为服务端技术 S e s s i o n Session Session;如果状态保存在客户端,则称为客户端技术 C o o k i e Cookie Cookie

Cookie

cookie是由服务器创建,通过响应发送给客户端,并保存在浏览器上的一小块信息,它会在浏览器下次再次发起请求的时候被携带并发送到服务器上。

cookie是不可跨域的,每一个域名下都有自己的cookie,而且这些cookie是互通的,但是不同的域名之间的cookie是不能够通信的。
比如 www.baidu.com 的cookie不能够访问 www.csdn.net 的cookie。
这样做的目的是为了安全进行考虑。

Cookie的产生

  1. 客户端在首次访问时,需要编写访问请求url。
  2. 由服务端创建cookie对象并通过response将cookie传递给客户端。
  3. 客户端响应服务端的cookie信息,并存储。
  4. 再次访问时携带信息进行访问。
  5. 服务端可以从请求中获取到cookie信息。

2

Cookie的缺陷

  • cookie的大小受到限制,一般会被浏览器限制为4kb或者8kb的大小。
  • 同一个域名下的cookie的数量受到限制,一般被限制为20个。
  • cookie在前端可以直接被修改。
  • 某些浏览器可能会禁用cookie,这就会导致会话状态无法保存。

Session

session也用于记录用户状态。

Session的产生

  1. 客户端在首次访问时,需要编写访问请求url。
  2. 由服务端创建session对象,每个session对应一个jssesionid,将jssesionid传递给客户端。
  3. 客户端响应服务端的jssesionid信息,并存储到cookie。
  4. 再次访问时携带jssesionid进行访问。
  5. 服务端可以从请求中获取到jssesionid信息。

3

如果如果浏览器禁用Cookie

需要注意的是:如果浏览器禁用cookie,session的值也就无法在客户端保存,读取时就不能通过客户端进行读取。请求转发重定向的行为可能会受到一些影响。

  1. 请求转发(Forwarding):是一种服务器行为,当客户端请求到达后,服务器进行转发。
    • 转发的过程中地址栏的地址不发生改变,请求从客户端发送到服务器,然后由服务器转发到另一个服务器或资源。
    • 当Cookie被禁用时,服务器可能无法识别和跟踪用户的会话。因此,当请求转发到另一个服务器或资源时,新的服务器可能无法识别用户的身份或状态。
    • 这可能导致用户在请求转发后被视为新用户,并需要重新登录或重新输入个人信息。
  2. 重定向(Redirection):一种服务器指导的客户端行为。客户端发起一个请求给服务器接收处理之后,服务器给客户端一个响应(一个新的地址),当客户端接受到新的地址之后,马上发起第二次请求,服务器接收并响应。
    • 重定向是指将用户的请求从服务器A重定向到服务器B,然后返回一个新位置的响应。
    • 当Cookie被禁用时,与请求转发类似,服务器可能无法识别和跟踪用户的会话。因此,当用户被重定向到另一个服务器时,新的服务器可能无法识别用户的身份或状态。
    • 这可能导致用户在重定向后被视为新用户,并需要重新登录或重新输入个人信息。

需要注意的是,即使cookie被禁用,某些情况下仍然可以使用其他技术来跟踪用户状态,例如通过URL参数、隐藏表单字段或服务器端会话来传递必要的信息。然而,这些方法可能不如使用cookie方便和高效。

因此,当设计Web应用程序时,开发人员应该考虑到用户可能禁用cookie的情况,并采取适当的措施来确保应用程序的正常运行和用户体验。

Cookie和Session的区别

  1. 保存位置不同
    cookie数据存放在客户的浏览器(客户端)上,session数据放在服务器上,但是服务端的session的实现对客户端的cookie有依赖关系的。

  2. 存储大小不同
    单个cookie保存的数据不能超过4K。每个站点cookie个数有限制,比如IE8为50个、Firefox为50个、Opera为30个;session没有容量限制。

  3. 传输量不同
    在每次的访问中,cookie会传输所有的cookie内容,session只需要传输一个Session ID就可以了。

  4. 安全性不同
    cookie存放在用户本地,可以被轻松访问和修改并进行cookie欺骗,安全性不高;session存储于服务器,比较安全。

dawn191228
关注
  • 13
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSession的区别、工作流程是什么?全网最详细!
CYK_byte的博客
11-23 3129
想要了解CookieSession的工作流程,首先需要来了解一下什么是Cookie,什么是Session?之后我将会用一个用户登录(附加:前端+后端 代码)的栗子,让你通透整个工作流程;sessionId是由服务器生成的一个“唯一性字符串”,也可以理解为一个身份表示,通过这个,服务器就可以识别对应的用户;从session机制的角度来看,这个唯一性字符串称为 “sessionId”,但在整个登录流程来看,也可以把这个唯一字符称为 “token”;
深入了解CookieSession和Token
PengXing_Huang的博客
03-19 439
以简明扼要的方式介绍了CookieSession和Token的区别和用途,希望能对你有所帮助!
深入理解CookieSession会话技术
qq_44666176的博客
09-28 504
前言:在JavaWeb技术中有着一个很重要的技术就是会话技术,会话技术就是在一次会话的多次请求间共享数据;主要方式就分为两种,一种是客户端会话技术(cookie),另一种就是服务器会话技术(session),下面就详细的了解下这两种会话技术。 Cookie:客户端会话技术 cookie的实现原理:简单的来说是基于响应头set-cookie和请求头cookie实现的; 详细的来说就是客户端向服...
深入理解Web开发中的CookieSession管理
qq_55482652的博客
03-25 2666
Cookie是一小段存储在浏览器(客户端)的文本信息。它由服务器在HTTP响应的Set-Cookie头部中发送给浏览器,并被客户端保存,并在后续的HTTP请求中发送回服务器。通常情况下,它被用来跟踪用户的状态、记录用户的偏好和实现购物车等功能。Cookie通常包括:名字、值、过期时间、路径、域和安全/HttpOnly属性。
c# CookieSession的区别
qq_43023809的博客
12-05 856
cookiesession 的区别详解 这些都是基础知识,不过有必要做深入了解。先简单介绍一下。 二者的定义: 当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择, 都纪录下来。当下次你再光临同一个网站,WEB 服务器会先看看有没有它上次留下的 Cookie 资料,有的话,就会依据 Cookie 里的内容来判断使用者,送出特...
简单搞懂cookiesession
qq_51705526的博客
04-03 1010
前言: 这里简单聊一下,cookies和session 为什么需要cookiesessionWeb发展史中,我们知道浏览器与服务器间采用的是 http协议,而这种协议是无状态的,所以这就导致了服务器无法知道是谁在浏览网页,但很明显,一些网页需要知道用户的状态,例如登陆,购物车等。 所以为了解决这一问题,先后出现了四种技术,分别是隐藏表单域,URL重写,cookiesession,而用的最多也是比较重要的就是cookiesession了。 Cookie 是什么 cookie是浏览器保存在用户电脑上的
PHP中cookiesession的区别实例分析
12-18
在PHP编程中,CookieSession是两种常用的会话管理机制,它们主要用于跟踪用户状态和存储临时数据。了解和熟练运用这两者是构建动态网站的关键。接下来我们将深入探讨它们的特性和区别。 首先,Cookie是一种存储在...
Django SessionCookie分别实现记住用户登录状态操作
09-16
首先,让我们深入了解CookieCookie是由服务器发送到用户浏览器的一小段数据,通常包含键值对,用于存储用户特定的信息,如会话ID。Django中设置Cookie的步骤如下: 1. 使用`response.set_cookie()`方法,传入键...
彻底理解cookiesession,token的使用及原理
10-16
了解cookiesession和token的基本概念后,让我们进一步深入它们的工作原理。 从发展史来看,最初Web应用非常简单,主要是文档的浏览,无需记录用户的浏览历史,因此HTTP协议本身是无状态的。但随着Web应用的...
CookieSession深入剖析图示
11-04
Web开发中,CookieSession是两种非常重要的用户身份验证和会话管理机制。...下面将对CookieSession进行深入剖析。...通过"CookieSession深入剖析图示"的学习,可以直观地了解两者的工作流程,加深理解。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 2566
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 2451
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 3014
linux上datax 安装以及使用
深入理解 Java 中的适配器模式》
最新发布
面团到油条的成长日记
08-29 1137
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
操作系统原子操作
zzt_is_me的博客
08-28 1406
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Java设计模式之建造者模式详细讲解和案例示范
weixin_39996520的博客
08-28 1012
建造者模式是一种创建型设计模式,允许用户通过一步步地构造复杂对象的方式来避免直接使用大量的构造函数或复杂的初始化过程。它通过将对象的创建过程分解为多个步骤,并允许这些步骤以链式调用的方式来执行,最终生成一个完全构建的对象。首先,我们定义一个Order类,该类包括了多个字段,如订单ID、客户信息、商品列表、配送地址等。// Getter方法省略...在这个例子中,类提供了构建Order对象所需的各个方法,每个方法返回实例,以便进行链式调用。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 715
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
基于jenkins部署maven项目
静水深流
08-26 1497
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
死锁及其产生条件
秋夫人
08-26 499
死锁是指两个或多个线程(或进程)互相等待对方释放资源,导致所有相关线程都无法继续执行的情况。这是并发编程中的一个常见问题,可能会导致系统部分或完全停止响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值