基于RFC6265 (HTTP状态管理协议)实现简单的登录系统

最新推荐文章于 2023-09-18 21:26:32 发布
最新推荐文章于 2023-09-18 21:26:32 发布
阅读量4.6k 收藏 2
点赞数 2
分类专栏: J2EE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jia20003/article/details/21903287
版权

该协议主要是阐述如何利用HTTP Cookie与SetCookie头字段来实现对HTTP Request

态的跟踪与管理,这个在用户行为分析,登录系统设计等方法有着很重要的应用。对

大多数现代的浏览器都支持RFC6265.

 

基本原理:

RFC6265阐述通过设置SetCookie不同值在HTTPResponse中,来告诉浏览器客户端在

接下来的每次请求Request Header中都带上Response中指定的值与行为。直到服务器

配置的session过期为止。通过Tomcat配置session过期时间为30分钟,在web.xml配置

文件中可以重写该属性值。同时当用户关闭浏览器以后,在客户端内存中对于该站点

的cookie内容将会自动销毁。也许这样不太方便用户,于是很多网站提供了记住自己帐

号的原因,其实就是通过将cookie写到本地文件中。

 

系统访问与重定向到登录页面

首先当浏览器客户端发起一个Request请求访问指定URL或者Web Server时,服务器

端通过检查请求头是否含有Cookie字段,以及Cookie字段中的内容来设别访问者是否

为登录或者未登录用户,如果是未登录页面,则将URL重定向到登录页面即可。用户

登录以后服务器端发送一个HTTP Response + Set-Cookie内容到客户端浏览器,那么

在随后所有发往该Domain的URL都将会带上Set-Cookie中指定的内容,HTTP 

Request + Cookie到服务器端,服务器端通过检查Request 头中Cookie内容实现对

用户的状态追踪。从而将无状态HTTP Request变成一个有状态的HTTP连接加以

管理。登录处理基本的流程图如下:


服务器与客户端HTTP Request发送与接受状态:


用户退出系统与Request状态终止

当客户端关闭浏览器时候,客户端Cookie将会被自动从内存中丢弃,当客户端再次打

开浏览器请求服务器端资源时候,将被要求再次登录到服务器端建立新的可跟踪的

Request 会话当超过服务器端配置的会话时间时,同样会要求用户再次登录系统。

当用户使用系统退出功能正常退出时,当退出时候通过设置Max-Age : 0来remove

当前cookie内容实现对客户端状态的清零。只要在HTTP Response中加上Cookie过

期属性同时设置一个过去的时间。例子如下:


RFC6265中关于Cookie与SetCookie的属性与使用详解

Cookie

SetCookie

包含于HTTP Request Header,用户客户端向服务器端发送验证信息与其它有用信息,主要用来跟踪客户端状态与分析用户行为

在HTTP Response中设置,主要用于服务器端向客户端发送指定的状态信息,建立与客户端的联系。通过设置HTTPOnly属性与Secure属性还可以保护客户端Cookie数据,减少恶意读取用户Cookie信息发生。

RFC6265中一个简单例子:

== Server -> UserAgent == // 服务器发送到客户端

Set-Cookie:SID=31d4d96e407aad42

== User Agent ->Server == // 每个请求中都会带上SID信息,实现追踪用户状态

Cookie: SID=31d4d96e407aad42

要求客户端的所有请求路径都要带上SID信息,通过发送Path=/实现

== Server -> UserAgent ==

Set-Cookie:SID=31d4d96e407aad42; Path=/; Domain=example.com

== User Agent ->Server ==

Cookie: SID=31d4d96e407aad42

删除客户端Request Cookie中SID信息,取当前时间以前的一个任意时间。

== Server -> UserAgent ==

Set-Cookie: SID=;Expires=Sun, 06 Nov 1994 08:49:37 GMT

最后来看一看我抓取的CSDN登录以后的Cookie信息:

J2EE 当从HTTP Servlet Request中调用获取SessionID方法以后会自动把JSESSIONID

作为Cookie设置到Response头中。所以无需显式再次调用!

根据RFC6265的内容,基于Spring3 MVC我自己也实现了一个简单的登录系统设计

可以帮助大家更好的理解协议。只有两个页面,两个Controller类与一个ServletFilter

各个类的作用大致如下:

ServletFilter类:实现对HTTP Request头的检查,跟踪用户状态

两个Controller类:一个用来管理用户登入登出,一个是简单的获取主页面信息

其中ServletFilter类代码如下:

package com.edinme.exam.filter;

import java.io.IOException;
import java.util.Date;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.editme.exam.util.FilterUtil;

public class SingleSignOnFilter implements Filter{ 
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;	
		String ipAddress = httpRequest.getRemoteAddr();
		
		// get URI resource path
		String uriPath = httpRequest.getRequestURI();
		String contextPath = httpRequest.getContextPath();
		String cookie = httpRequest.getHeader("Cookie");
		String sessionId = httpRequest.getSession().getId(); // enable SetCookie header in HTTP Response
		if(FilterUtil.validURLRequest(uriPath, cookie, contextPath, sessionId))
		{
			System.out.println("Request URI : " + uriPath);
			System.out.println("IP "+ipAddress + ", Time " + new Date().toString());
			chain.doFilter(request, response);
		}
		else
		{		
			System.out.println(httpRequest.getProtocol() + httpRequest.getLocalPort() + httpRequest.getContextPath());
			httpResponse.sendRedirect("/exam/user.do");
		}
	}

	@Override
	public void init(FilterConfig config) throws ServletException {
		// TODO Auto-generated method stub
		
	}

}
用户登入登出Controller: 

package com.edinme.exam.controller;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.servlet.ModelAndView;

import com.edinme.exam.dto.MockUpDataFactory;
import com.edinme.exam.dto.UserDto;
import com.editme.exam.util.FilterUtil;

@Controller
@RequestMapping(value = "/user")
public class UserLoginController {
	
	@RequestMapping(method = RequestMethod.GET)
	public ModelAndView goLoginPage()
	{
		System.out.println("Dispaly SSO Page");
		ModelAndView view = new ModelAndView("user");
		return view;
	}
	
	@RequestMapping(value = "signIn", method = RequestMethod.GET)
	@ResponseBody
	public UserDto login(@RequestParam String userId, @RequestParam String password, /*HttpServletRequest httpRequest,*/ HttpServletResponse response)
	{
		System.out.println("User Name = " + userId);
		MockUpDataFactory dataFactory = new MockUpDataFactory();
		response.addHeader("Set-Cookie", "userId=" + userId + "; Path=" + FilterUtil.CONTEXT_PATH + "; HttpOnly");
		return dataFactory.getUserById(userId);
	}
	
	@RequestMapping(value = "signOut", method = RequestMethod.GET)
	@ResponseBody
	public UserDto logout(@RequestParam String userId, HttpServletRequest httpRequest, HttpServletResponse response)
	{
		MockUpDataFactory dataFactory = new MockUpDataFactory();	
		//	Set-Cookie:JSESSIONID=delete; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/exam/
		//	Set-Cookie:userId=delete; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/exam/
		Cookie[] cs = httpRequest.getCookies();
		for(Cookie c : cs)
		{
			c.setMaxAge(0); // set expire attribute
			c.setValue("delete");
			c.setPath(FilterUtil.CONTEXT_PATH); // set path, must be same as login context path
			response.addCookie(c);			
		}
		response.setHeader("Expires", "Thu, 19 Nov 1981 08:52:00 GMT"); // must be GTM format
		return dataFactory.getUserById(userId);
	}
//	
//	public static void main(String[] args)
//	{
//		SimpleDateFormat sdf = new SimpleDateFormat("E dd MMM yyyy HH:mm:ss zzz", Locale.ENGLISH);
//		sdf.setTimeZone(TimeZone.getTimeZone("GMT"));
//		System.out.println(sdf.format(new Date()));
//	}

}
全部源代码下载点击这里:

http://download.csdn.net/detail/jia20003/7087947

觉得好请顶一下啊!!,谢谢!!

gloomyfish
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RFC1298_基于IPX协议的SNMP.doc
08-23
基于IPX协议的SNMP (RFC1298 ——SNMP over IPX) 本备忘录的状态 本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要...本文档建议了简单网络管理协议SNMP包如何在网际包交换协议IPX封装的传输机制。
cookie规范(RFC6265)翻译
weixin_30508309的博客
07-21 1413
来源:https://github.com/renaesop/blog/issues/4 RFC 6265 要点翻译 1.简介 本文档定义了HTTP Cookie以及HTTP头的Set-Cookie字段。通过使用Set-Cookie头,一个HTTP服务器可以传递name/value键值对以及相对应的元数据(所谓的cookies)到user agent。当user agent向服务...
RFC 6265(cookie)
ybbgrain的历程
09-01 551
RFC 6265规范 cookie的作用:web浏览器需要用额外的数据,用于区分请求是否来自于同一个浏览器,所以cookie是伴随http发送的额外数据。 属性:name和value是两个必备的属性,并且不区分大小写,且设置了额外的属性值之后浏览器,就必须要处理额外的属性值。 Domain属性,指明cooike会发送到那些host。 Path属性,每个cookie的作用域被限制到path组成集合中,由path属性控制,如果服务器没有提供path属性,user agent将会使用当前的re
Tomcat中LegacyCookieProcessor与Rfc6265CookieProcessor
zzhongcy的专栏
02-17 3573
最近升级某个依赖库,遇到cookie解析失败的问题,网上查了查资料,在这里学习记录一下。 背景 近日有用户反馈tomcat升级后应用出现了一些问题,出现问题的这段时间内,tomcat从8.0.47升级到了8.5.43。 问题主要分为两类: cookie写入过程中,domain如果以.开头则无法写入,比如.xx.com写入会报错,而写入xx.com则没问题。 cookie读取后应用无法解析,写入cookie的值采用的是Base64算法。 定位 经过一番搜索,发现tomca...
http状态
gulanga5的博客
02-20 527
http状态
RFC2616_HTTP.rar_RFC2616_http 协议
09-23
但可以通过Cookie和Session技术实现某种程度的状态保持。 HTTP/1.1还引入了缓存机制,允许客户端缓存响应,减少不必要的网络传输。通过Cache-Control和ETag等首部字段来控制缓存的行为。 在安全性方面,HTTP本身不...
RFC7047 ovsdb管理协议_rfc7047_ovsdbprotocol_
10-03
OVSDB协议的实施使得OVS可以与其他管理系统集成,如OpenStack Neutron,用于实现网络虚拟化。同时,它也为开发者提供了灵活的接口,以便开发自定义的管理工具或应用程序。 在实际应用中,OVSDB协议通常与OVS的...
升级到 Tomcat 8 后 Cookie 可能出现的问题
技术小站
10-18 8463
Tomcat 8 ( or later) 版本进了很多改进,其中的 Cookie 处理也升级到 RFC6265 规范,可能导致在 Tomcat 8 以前版本中运行无问题的Web项目在 Tomcat 8 中报下面错误: java.lang.IllegalArgumentException: An invalid character [34] was present in the Cookie va...
http协议之cookie标准RFC6265介绍
dly41721的博客
08-07 416
cookie是现代web系统开发中非常重要的一个技术,最近对cookie标准RFC6265进行了了解,从中选取了部分内容。 1.cookie的主要作用 因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话。 Cookie 正是这样的一段随HTTP请求一起被传递的额外数据。 2.cookie的主要作用...
第 6 章 HTTP 首部
最新发布
weixin_73953279的博客
09-18 65
调用 Cookie 时,由于可校验 Cookie 的有效期,以及发送方的域、路径、协议等信息,所以正规发布的 Cookie 内的数据不会因来自其他Web 站点和攻击者的攻击而泄露。原本的意图是想和网景公司制定的标准交互应用,可惜发生了微妙的差异。在客户端发送请求和服务器返回响应内,使用 Connection 首部字段,可控制不再转发给代理的首部字段(即 Hop-by-hop 首部)。HTTP/1.1 的 Warning 首部是从 HTTP/1.0 的响应首部(Retry-After)演变过来的。
一文了解cookie
p1967914901的博客
11-10 3669
一文了解cookie什么是Cookie?Cookie 的作用Cookie原理Cookie的分类会话 Cookies永久性 CookiesCookie 的属性namevalueDomainPathExpiresMax-AgeSecureHTTPOnlySameSiteStrictLaxNone 什么是Cookie? Cookie 就是访问者在访问网站后留下的一个信息片段。它存储在客户端(通常来说是浏览器)。你可以把cookie当作一个map,里边是键值对,每个键值对有过期时间、域、路径、脚本可否访问等描述信息
HTTP 状态管理机制——RFC6265翻译文档
xuejunzhao0423的专栏
03-18 2525
 此文档为pcn-cad实验室宋老师所指导的林昌伟、赵雪君所翻译,如有纰漏,望大家多多指教 因特网工程任务组(IETF) 文档:6265 取代文档:2965 类别:标准化过程 ISSN:2070-1721   HTTP 状态管理机制 摘要 本文档规定了HTTP cookie 以及Set-Cookie 头字段。这些头字
tomcat中LegacyCookieProcessor/Rfc6265CookieProcessor一个有双引号,一个domain不能加“.“号,终极解决方案
隔壁老易的博客
08-30 863
Rfc6265CookieProcessor实现rfc6265相关的http cookie的规范,使用了更严格的字符和domain校验cookie的合法性为什么一定要使用加'.'的方式来设置cookie,因为规范是一个事情,现实是另外一个事情,现实是你无法知道你的用户使用的浏览器是什么年代的,是否符合最新的http规范,如果符合的话,是不需要通过设置domain加'.'的方式允许子域名访问主域名的cookie的。......
RFC6265 Cookie values characters restricted to US-ASCII: 0x5468
Java_HuiLong的博客
02-24 889
Cookie中存储中文异常 今天存储cookie用户名称时发生异常 临床表现:RFC6265 Cookie values characters restricted to US-ASCII: 0x5468 Cookie默认支持的编码方式是ASCII码 治疗手段: 1.创建cookie Cookie cookie = new Cookie(name,URLEncoder.encode...
HTTP/1.1协议详解:RFC修订版
HTTP协议不仅限于超文本传输,还可以应用于其他分布式系统,如名称服务器和分布式对象管理系统,只需扩展其请求方法和利用其灵活的数据表示能力。 HTTP/1.1协议是互联网基础设施的关键部分,它的设计和规范确保了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gloomyfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值