session里保存什么信息

已于 2022-03-01 11:55:09 修改
阅读量2.9k 收藏 5
点赞数 2
文章标签: java 缓存 安全
于 2022-03-01 09:11:20 首次发布
aaa
本文链接:https://blog.csdn.net/djydjy3333/article/details/123197439
版权

http本身无状态,说白了就是不保存任何用户信息。 所以引入cookie(客户端方案)、session(服务端方案)来保存用户信息:

这些信息通常包括什么,不能包括什么呢?

: 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)4 登录凭证, 权限 ?

: session不适合保存比较多的信息,防止服务端压力过大。

: 一般只存ID

: 密码不宜放进session。 private transient String password; 且分布式项目的缘故。

session相关信息:

1 失效只能是超时或者invalidate(); 关闭浏览器不会删除服务端的session,但是可能会删除cookie保存 的sessionId。

2 session实现的‘记住我’并不安全。https://coolshell.cn/articles/5353.html。 记住我相当于自动查数据库。

至于token为什么比sessionId安全,CSRF攻击的方式:被骗去点了个链接,被恶意的JS提交的等

3 一般都是用redis模拟session。

例子

当我们去医院就诊时,医院都会给就诊病人发放就医卡,卡上只有卡号,而没有其它信息。但病人每次去该医院就诊时,只要出示就医卡,医务人员便可根据卡号查询到病人的就诊信息。Session技术就好比医院发放给病人的就医卡和医院为每个病人保留病例档案的过程。当浏览器访问Web服务器时,Servlet容器就会创建一个Session对象和ID属性,其中,Session对象就相当于病历档案,ID就相当于就医卡号。当客户端后续访问服务器时,只要将标识号传递给服务器,服务器就能判断出该请求是哪个客户端发送的,从而选择与之对应的Session对象为其服务。

需要注意的是,由于客户端需要接收、记录和回送Session对象的ID,因此,通常情况下,Session是借助Cookie技术来传递ID属性的。

为了大家更好的理解Session,接下来,以网站购物为例,通过一张图来描述Session保存用户信息的原理,具体如图1所示。

在这里插入图片描述
在图1中,用户甲和乙都调用buyServlet将商品添加到购物车,调用payServlet进行商品结算。由于甲和乙购买商品的过程类似,在此,以用户甲为例进行详细说明。当用户甲访问购物网站时,服务器为甲创建了一个Session对象(相当于购物车)。当甲将Nokia手机添加到购物车时,Nokia手机的信息便存放到了Session对象中。同时,服务器将Session对象的ID属性以Cookie (Set-Cookie: JsessionID=111)的形式返回给甲的浏览器。当甲完成购物进行结账时,需要向服务器发送结账请求,这时,浏览器自动在请求消息头中将Cookie (Cookie: JsessionID=111)信息回送给服务器,服务器根据ID属性找到为用户甲所创建的Session对象,并将Session对象中所存放的Nokia手机信息取出进行结算。

zhangsan3333
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
6.3 session存储
Kaitiren的专栏
02-01 244
上一节我们介绍了Session管理器的实现原理,定义了存储session的接口,这小节我们将示例一个基于内存的session存储接口的实现,其他的存储方式,读者可以自行参考示例来实现,内存的实现请看下面的例子代码 package memory import ( "container/list" "github.com/astaxie/session" "sync" "time" ) var pder = &Provider{list: list.New()}
SESSION信息保存在哪个文件目录下以及能够用来保存什么类型的数据
10-28
Session是一种广泛应用于Web开发中的技术,用于保存和管理用户会话信息。它允许Web应用存储用户特定信息,以便在用户浏览不同页面时能够识别用户身份,同时保证数据的持久性和安全性。在PHP中,session默认是保存在...
session中适合保存什么信息呢?
wangzheno2的专栏
03-01 2979
http本身无状态,说白了就是不保存任何用户信息。 所以引入cookie(客户端方案)、session(服务端方案)来保存用户信息: 这些信息通常包括什么,不能包括什么呢?   : 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)4 登录凭证, 权限 ?   : session不适合保存比较多的信息,防止服务端压力过大。    :一般只存ID    : 密码不宜放进session。 private transient String passwor..
全栈:session用户会话信息,用户浏览记录实例
最新发布
h1008685的博客
05-24 965
PHP中的session技术用于在用户与Web应用交互过程中跟踪和存储用户特定信息,如用户ID、购物车内容等,确保数据跨页面请求保持一致。使用流程主要包括:启动session(`session_start()`)->设置/读取/删除会话数据(`$_SESSION`超全局数组)->配置会话行为(如会话保存路径)->管理会话ID(生成、重置)->结束会话(`session_destroy()`). 实例演示了从用户登录验证、主页访问控制、登出功能到浏览历史记录展示的完整过程
使用session储存信息
Aruko的博客
06-28 892
session对象可以储存和读取客户信息,到客户关闭浏览器或长时间不发送请求时释放。 简单的说就是,session对象储存的信息是跨页面的,储存上了就一直有。 在.jsp页面中储存account信息 <% <input name="account" type="text" value=""> session.setAttribute("account", account); /*这就把输入的account信息储存到session范围中了*/ %> 在Servlet类中获取a
javasession能存什么不能存什么
Z17839192969的博客
06-10 1302
项目中在做一个表单文件上传时 ,为了方便 ,将文件上传 做成 单独上传 ,将文件存在session 中 ,表单提交的时候再去session 中取到刚刚上传的文件 , 将file 存在session 中再去取文件的时候 , 出现了一个 file 在tomcat/temp 文件夹下找不到这么一个错误 , 不太清楚为什么出现这个问题 ,能想得到的 就是 ,file 只能经过序列化 保存在硬盘上 ,不能保...
Session保存用户数据
weixin_44535029的博客
11-10 1738
一.保存数据到session对象。二.从session中读取数据。
php保存信息到当前Session的方法
10-24
保存信息到当前Session,只需将数据作为键值对存入`$_SESSION`即可。例如: ```php $_SESSION["sitename"] = "W3M"; $_SESSION["MyChoice"] = "red"; ``` 在这个例子中,我们创建了两个Session变量:`sitename`...
php同时使用session和cookie来保存用户登录信息的实现代码
10-22
- 如果cookie中用户ID有效但session中无信息,会通过一个DAO(数据访问对象)类的find()方法查找用户数据,并将其保存session中。 - 如果用户信息不存在,则调用clearCookie()方法清除所有相关cookie,并返回...
PHP中如何使用session实现保存用户登录信息
10-23
主要给大家介绍在php中是如何使用session实现保存用户登录信息的,涉及到php session 用户登录等一些知识点,使用session保存用户登录信息要比cookie安全很多。感兴趣的朋友一起学习吧
redis 保存session信息源码
02-28
本文将深入探讨如何使用Redis保存Session信息,并提供相关的源码示例。 一、Redis与Session共享的优势 1. 高性能:Redis作为内存数据库,读写速度极快,适合频繁读取Session数据。 2. 可扩展性:通过分布式部署,...
Session的内容总结
qq_49641239的博客
07-13 1191
1、Session的工作原理 session 的工作原理是客户端登录完成之后,服务器会创建对应的 sessionsession 创建完之后,会把session 的 id 发送给客户端,客户端再存储到浏览器中。这样客户端每次访问服务器时,都会带着sessionid,服务器拿到 sessionid之后,在内存找到与之对应的 session 这样就可以正常工作了。 除了可以将用户信息通过 Cookie 存储在用户浏览器中,也可以利用 Session 存储在服务器端,存储在服务器端的信息更加安全。 Sessi
Session
小胖_@的博客
12-01 165
Session简介 Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将自动创建一个 Session对象。当会话过期或被放弃后,服...
Session详解
王如霜
10-18 6597
四大域对象 1.概念     称为实体类实例,对应数据库字段。域:翻译英文未field,即我们常用的字段或属性。作用是用于保存数据,获取数据,可以在不同的动态资源之间共享数据。 2.包含的对象  (1)Session域     A: 产生: 第一次调用 request.getSession()时产生     B:作用: 存储访问该程序的一个用户的信息     C: 生命周期: 第一次调用re...
Session详解(一)
zhijingzhi的博客
06-07 1189
一、术语session在我的经验session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。有时候我们可以看到这样的话“在一个浏览器会话期间,...”,这的会话一词用的就是其本义,是指从一个浏览器窗口打开到关闭这个期间①。最混乱的是“用户(客户端)在一次会话
SESSION详解
Again yy
07-28 5262
一. cookie和session 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车面有几本书。这个Session保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。集群的时候也要考虑
Session详解,学习Session,这篇文章就够了(包含底层分析和使用)
热门推荐
秃头披风侠的博客
03-09 8万+
什么是session session在网络应用中称为“会话控制”,是服务器为了保存用户状态而创建的一个特殊的对象。简而言之,session就是一个对象,用于存储信息session有什么用 我们先来想一个问题,这个问题就是我们在游览购物网站时,我们并没有登录,但是我们任然可以将商品加入购物车,并且进行查看,当我们退出游览器后再打开游览器进行查看,购物车中依然有我们选择的商品,这该怎么实现呢? 当然,我们可以使用cookie,但是cookie能...
session的存储方式和配置
ba_wang_mao的专栏
06-22 6641
Session又称为会话状态,是Web系统中最常用的状态,用于维护和当前浏览器实例相关的一些信息。我们控制用户去权限中经常用到Session来存储用户状态,这篇文章会讲下Session的存储方式、在web.config中如何配置SessionSession的生命周期等内容。  1、Session的存储方式。   session其实分为客户端Session和服务器端Session。   当用户首次与Web服务器建立连接的时候,服务器会给用户分发一个 SessionID作为标识。Sess...
session文件包含漏洞详解
永远是少年
12-14 1587
今天继续给大家介绍渗透测试相关知识,本文主要内容是session文件包含漏洞详解。 一、session文件包含简介 二、session文件包含实战
java session保存用户信息
03-16
Java中的Session可以用来保存用户信息Session是一种在服务器端保存用户状态的机制,它可以在用户访问网站时创建一个唯一的Session ID,并将用户的信息保存在服务器端的内存中或者是数据库中。在用户访问网站的过程中,可以通过Session ID来获取用户的信息,从而实现用户的状态保持。通过Session,可以方便地实现用户登录、购物车等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值