关于Cookie和Session的一些疑惑和猜测

已于 2022-07-30 11:28:11 修改
阅读量6.1k 收藏 1
点赞数
文章标签: java spring boot 后端 spring
于 2022-07-28 12:00:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/macsteam/article/details/126030869
版权

背景:

首先简单介绍一下,本人大三狗,马上秋招,这是我的第一篇Csdn ,以前一直潜水,感觉这个问题挺有意思的,所以想发出来给大家也看看。

另外,我的问题可能因为能力,和学习不精从而导致是一个小问题,大佬们看到了请帮我们解解惑,还请不要嘲笑我的问题幼稚。

问题描述:

关于SpringBoot中的Cookie和Session关联问题,Springboot这个强大的框架本身就为我们创建了一个全局的Session,我们可以直接使用,也可以创建,但如果我们选择手动创建的话,那么SpringBoot会自动的将自带的全局Session注入进来,也就说我们使用的仍然是其自带的全局Session。

按照此,我便创建了一个Session,并存取了用户的账号和密码等信息,接着为了和客服端关联,便创建了一个Cookie,并将Session的Id存在哪里,然后发送给客服端,这样,每一次用户的登录都将携带着cookie中的SessionId信息,这样,在后端可以通过cookie中的SessionId信息,找到存储个人信息的session,从而实现了页面跳转后数据共享的问题。(客服端本身的浏览器也会有一个自带的cookie)

那么问题来了:

 如上图,在浏览器发送了请求的时候,SpringBoot中的Controller响应了请求,这时,我获得了全局Session,然后存入数据,但注意:这个时候我并没有手动创建Cookie,也没有发送Cookie,也就是说如果浏览器要使用cookie发送信息,使用的应该是他自带的Cookie。

如上图,这是我获取全局Session的ID,并成功输出。

重点来了:

也就是说此时这个请求以及响应,请求不应该携带SessionId或者说不应该携带SpringBoot自带的全局Session的Id,同时响应也不应该携带Cookie信息(因为我并没有手动创建Cookie并发送)。

 上图是浏览器的信息,可以看到在响应头中确实没有set-cookie的信息,但奇怪的是此时的请求头中却出现了SessionId的信息,而惊奇的却是,请求头中的SessionId和后台获取的SeesionId并输出的一致????

小小的眼睛,大大的疑惑?

疑惑1:按理说请求在前,响应在后,请求不可能获取SpringBoot自带的全局SessionId?

疑惑2:就算他能知道SpringBoot自带的全局sessionId,怎么知道的?以及每一次的运行sessionID都是随机生成,是怎么放进浏览器自带的cookie中的

猜测1:

要不就是这个Session本身是在浏览器创建的(或者浏览器的后端创建的),然后通过请求中的SessionID带入到我们的后端,检测到我们在获取SpringBoot的全局sessionId,然后把带过来的Session注入到Springboot中全局session中去。

那随之而来的问题是:

浏览器后端创建的Seesion,必然知道其对应的Id,那么获取我们存在session中的信息岂不是轻而易举?

如果不是,那么造成这个问题的根本原因又是什么?

以上是不手动设置cookie:

 如上图,我手动创建了cookie,并存取对应的SessionId(同时,我还没用sessionId想对应的JSESSIONID这个key,而是随便取的一个key),那么暗战上述,浏览器的请求本身会自带一个sessionId,同理在响应头中也会携带着我发送过去的Cookie信息。

 上图是控制台输出的SessionID信息。

 上图是浏览器的请求响应信息(不知道为啥,有点模糊,但不影响对比),我们可以清晰的看到在响应头中有set-cookie信息,而携带的信息中也却是有我们设置的kv,

但问题来了:

在请求头中我们也可以清晰的看到其发送的SessionId有两个,其中一个是JS,另一个是JSESSIONID,且两者的值是一样的,或者说这与我控制台上输出的Seesion的值三者相同。

疑惑来了:

疑惑1:js和其对应的SessionId是我们手动放松cookie值的,且响应头带了过去,那么请求头中为什么会携带这个值呢?有请求才有想要,请求头携带了响应头信息???

疑惑2:为什么三者的值相等,且都指向一个Session?

猜测2:

我们new的cookie并不是创建一个新的,而是把本身浏览器传过来的cookie注入到里面,所以我们设置cookie中js的kv值在发送给浏览器后,请求头才会同时携带js和JSESSIONID)。

也就是说先有的JSESSIONID,浏览器发送请求,将请求带到springboot,并将sessionID对应的Session注入给全局session,然后我们获取了全局session,再然后我们new 了cookie,存入我们获取的sessionId(这就解释了为什么三者值相同的问题的),然后我们new的cookie和浏览器的cookie合并,又或者浏览器发送的请求是将所有的cookie中存储的信息合并,然后发出去

那么新的问题1:cookie并不止一个,存储的信息也不仅仅是SessionId,如果合并发送,这不现实。

那么新的问题2:为什么js对应的kv会出现在请求头中,其次如果是这样的,那么session的创建也就是浏览器后台创建的,那么随之而来的便是安全问题了? 

害羞的米老鼠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CookieSession以及其相关问题
weixin_54575205的博客
09-22 904
为了安全,默认情况下,浏览器是不让js代码访问到用户电脑的文件系统的。假如某个网页包含恶意代码,你又不小心点击了,触发了这些恶意代码,那么这些恶意代码就有可能删掉你文件系统中的重要文件。这是浏览器不允许的。但是这样的安全机制,也造成一些麻烦,比如有些时候确实需要存储一些数据方便后面网站的访问。其中最为典型的就是存储用户当前的身份信息:当用户在登录页完成身份验证后,服务器就给浏览器返回用户的身份信息,浏览器需要存储这个信息。
Spring MVC 的 CookieSession
qq_40623878的博客
09-15 567
Spring MVC 的 CookieSession
Spring2.5访问Session属性的四种策略
mingj
10-12 295
WEB 应用通常引入 Session,用来在服务端和客户端之间保存一系列动作/消息的状态,比如网上购物维护 user 登录信息直到 user 退出。在 user 登录后,Session 周期里有很多 action 都需要从 Session 中得到 user,再验证身份权限,或者进行其他的操作。这其中就涉及到程序去访问 Session属性的问题。在java中,Servlet 规范提供了 Http...
Spring Security中的话【Session】管理与防御以及话的并发控制
SunRains
12-17 4026
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
怎么在springboot实现简单的登录操作关于拦截器中cookie,token,redis的使用,以及使用全局变量ThreadLocal
qq_42400763的博客
01-01 1383
1.什么情况下需要登录操作?   首先抛出一个问题,什么情况下才需要登录操作,其实登录操作在很多的管理系统,后台系统中都涉及到的一个看似简单,但是又特别重要的操作 2.登录是简单的验证数据库账号密码,这么简单吗?   在之前我总觉得登录应该是一个很简单的操作,验证数据库?然后通过.但是这样做的一个简单的判断,能完成登录操作,但是?我能不能绕过你的登录呢?答案是可以的.我最开始可以不调用你的登录接口,我直接调用你的后台其他接口,就能实现绕过验证,进行操作你的管理系统.这样你的登录操作对我来说,形同虚设. 3
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
CookieSession的区别.txt
03-20
介绍CookieSession的区别,适合做技术开发人员
浅谈cookiesession 的区别
09-02
CookieSession是两种常见的用户状态管理机制,它们在Web开发中起着至关重要的作用,用于跟踪用户的话和存储用户数据。下面我们将深入探讨它们的区别、工作原理以及优缺点。 首先,Cookie是由服务器发送到用户...
带你了解sessioncookie作用原理区别和用法
08-29
本资源主要介绍了sessioncookie的作用原理、区别和用法,帮助读者更好地理解两者之间的关系。 Cookie概念 Cookie是浏览器端存储的一种小文本文件,用于记录用户的信息,以便在后续的访问中使用。Cookie可以根据...
JavaCookieSession的那些事儿
09-01
Java Web开发中,CookieSession是两种常用的技术,用于管理用户话并维护用户状态。它们都是为了在用户浏览器和服务器之间建立一种持久性的连接,以解决HTTP协议无状态的特性带来的问题。 Cookie,作为客户端...
SpringBoot秒杀系统:8.全局User对象注入
一个小彩笔
10-11 1131
首先,前面利用token获取用户登录信息,并传输到页面。 如果每个接口都进行一次这样的操作将非常多余, 那么如何让每个接口自动的获取这个user对象呢? 通过ArgumentReslover参数解析器识别该对象,利用WebMvcConfigurerAdapter接口中addArgumentResolvers方法自动注入 参考:ArgumentReslover 定义Controller 下面是前面在接口中通过cookie中的token找到的user对象 @RequestMapping("/to_l
Session话追踪的实现机制
wan25110712的博客
08-26 78
我们把这种基于唯一ID识别用户身份的机制称为 Session每个用户第一次访问服务器后,自动获得 一个 Session ID 。如果用户在一段时间内没有访问服务器,那么 Session 自动失效(可以理解为身份证的有效期限),下次即使带 着上次分配的 Session ID 访问,服务器也认为这是一个新用户,分配新的 Session ID (办理新的身份证)。一次 Session 话中往往包含着若干次 request ...
后端接口鉴权全解 Cookie/Session/Token 的区别
时清云的博客
05-08 1031
不知不觉也写得比较长了,一次看不完建议收藏夹!本文主要解释与请求状态相关的术语(cookiesession、token)和几种常见登录的实现方式,希望大家看完本文后可以有比较清晰的理解,有感到迷惑的地方可以点击阅读原文在评论区提出~ Cookie 众所周知,http 是无状态协议,浏览器和服务器不可能凭协议的实现辨别请求的上下文。 于是 cookie 登场,既然协议本身不能分辨链接,那就在请求头部手动带着上下文信息吧。 举个例子,以前去旅游的时候,到了景区可能需要存放行李,被大包小包压着,旅游也不开心啦
认识 CookieSession
challenglistic的博客
08-11 594
了解什么是Cookie以及Cookie有什么用,为了缓解信息泄漏的风险,提出了Session的概念。
【前后端的那点事儿】Cookie Session及Seesion ID
weixin_42866036的博客
06-18 743
Cookie Session及Seesion IDCookie 是服务器在接收到用户 由客户端保存的小型文本文件,其内容为一系列的键值对。 Cookie是由HTTP服务器设置的,保存在浏览器中, 在用户访问其他页面时,在HTTP请求中附上该服务器之前设置的Cookie。HTTP 协议是一种无状态(连接)的协议:如何理解? 当客户端发出一个请求时,它们之间就建立一个连接,等服务器响应了这个请求,这个连接就被断开,这时候服务器再也不记得先前与客户端的那次亲密接触,随之用户信息也就消失了。session
cookie放在请求头_详解 CookieSession,Token
热门推荐
weixin_39792475的博客
11-19 1万+
前言无状态的HTTP协议很久很久之前, Web基本都是文档的浏览而已。既然是浏览, 作为服务器, 不需要记录在某一段时间里都浏览了什么文档, 每次请求都是一个新的HTTP协议,就是请求加响应。不用记录谁刚刚发了HTTP请求, 每次请求都是全新的。如何管理话随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己...
分布式 session
LZN的博客
10-01 349
文章目录一、什么是 session二、什么是 session 失效三、分布式 session 解决方案3.1 session 同步法3.2 客户端存储法3.3 反向代理 hash 一致性3.3.1 四层代理 hash3.3.2 七层代理 hash3.4 后端统一存储四、总结 一、什么是 session 服务器为每个用户创建一个话,存储用户的相关信息,以便多次请求能够定位到同一个上下文。web 开发中,web-server 可以自动为同一个浏览器的访问用户自动创建 session,提供数据存储功能。最常见的
请求时不带JSESSIONID导致shiro总是鉴权失败
xurk0922的博客
09-16 1299
框架 Spring + Shiro 问题详细描述 项目是通过ajax去进行登录校验,当检验成功后在前端页面使用window.location = “main”跳转到主页。主页相关的Controller中使用了@RequiresAuthentication(使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。),在某些条件下,登录步骤正确完...
项目中浏览器发送请求自动携带Cookie
qq_33715850的博客
04-10 3893
项目中浏览器发送请求自动携带Cookie
cookiesession
最新发布
06-01
CookieSession都是Web开发中常用的机制,用于在服务器和客户端之间存储一些数据。 Cookie是服务器发送给客户端的小型文本文件,存储在客户端的浏览器中,用于跟踪用户的话状态,比如用户的登录状态、购物车内容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值