HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。
假设要求登陆认证的web页面本身无法进行状态的管理(不记录已登陆的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。
不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然可以减少服务器CPU及内存资源的消耗。
使用cookie的状态管理
Cookie技术通过在请求和响应报文中写入Cookie信息来控制客户端的状态。
Cookie会根据从服务器端发送的响应报文内的一个叫做set-cookie的首部字段信息,通知客户端保存Cookie。当下次客户端再从该服务器发送请求时,客户端会自动在请求报文中加入cookie值后发送出去。
服务器端发现客户端发送过来的cookie后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息
- 没有Cookie信息状态下的请求
- 第二次以后(存有Cookie信息状态)的请求
HTTP请求和响应报文如下
1.请求报文(没有Cookie信息的状态)
2.响应报文(服务器端生成Cookie信息)
3.请求报文(自动发送保存着的Cookie信息)
set-cookie字段的属性
session管理及cookie应用
步骤1:客户端把用户ID和密码等登录信息放入报文的实体部分,通常是以POST方法把请求发送给服务器。而这时,会使用https通信来进行html表单画面的现实和用户数据的发送。
步骤2:服务器会发送用以识别用户的session id。通过验证从客户端发送过来的登录信息进行身份认证,然后把用户的认证状态与session id绑定后记录在服务器端。
步骤3:客户端接收到从服务器端发来的session ID后,会将其作为cookie保存在本地。下次向服务器发送请求时,浏览器会自动发送cookie,所以session ID也随之发送到服务器。服务器可通过验证接收到的session id识别用户和其认证状态。