Web会话管理

最新推荐文章于 2023-05-01 18:36:13 发布
最新推荐文章于 2023-05-01 18:36:13 发布
阅读量212 收藏
点赞数
分类专栏: Java Web开发 文章标签: web 会话 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meiyouyaCSDN/article/details/99991431
版权

Web会话管理

Web应用通常使用的是HTTP请求,但是HTTP是无状态的, 一次请求结束,连接就会自动断开,服务器只能知道每个请求的来源地址,可是这对会话的管理毫无意义。根本无法对用户进行认证和权限控制。于是,就有了相应的方案来解决这问题。常用的方法有三个:

  • 基于server端的session来管理
  • 基于cookie来管理
  • 基于token来管理

基于server端的session来管理

在早期的Web应用中,基本上采用的都是此种方式来进行会话管理。session是服务端创建的一个全局对象,在这个对象中存储用户的登录信息,就可以达到会话管理的目的。

主要问题:

  1. 用户第一次访问应用是,服务端会创建session对象,可以在session中存储用户的信息,从而进行会话管理。每个session有个唯一的sessionId,会写回到客户端的cookie中,每次服务器从cookie中读取id并通过id获取session,但是当用户量过大时,服务器压力会特别大
  2. session是由服务器创建的,在集群是,其本身并不具备共享的特性
  3. 如果多个应用共用一个session,就会存在跨域的问题

后来用redis来存储session,成功避免了服务器的压力。共享也可以通过redis实现,但是,由于session的传递依赖sessionId,而sessionId依赖cookie,所以cookie就出现了跨域的问题。

由于这种方式,在用户量上升之后,会大幅度的提升服务器压力以及架构复杂性。所以,很快就被淘汰了。

基于cookie来管理

为了减小服务器的压力和架构复杂性,于是就想到了把用户的登录信息放在客户端来解决这个问题。cookie正好可以实现这个功能。把登录凭证放在cookie中并设置有效期,每次登录就验证cookie中登录凭证即可。

基本流程

  1. 用户发起登陆请求,请求参数包括用户名(也可以是邮箱、手机号等)、密码,有时候还会有验证码之类的,服务端使用这些东西,创建一个凭证(一般称为ticket),这个凭证至少要包含2个值:

    • ticket的标识,一般是一串能够绝对保证唯一的字符串,如UUID,安全点的,UUID+时间戳,甚至加上随机数的,这个取决于用户的量级,越大的量级就需要越复杂的算法,从而保证ticket的绝对唯一
    • ticket的过期时间,用于验证ticket是否有效,一般这个值存的不是它在什么时候到期,而是在多久之后到期,所以,一般还会返回一个ticket的创建时间,两个值一起,确定ticket是否有效,懒得话也可以直接存到期时间的时间戳

  2. 服务端创建完ticket后,最好不要直接返回,而是先做一个数字签名,数字签名算法可以使用常用的RSA,如有必要再复杂化算法从而保证数据完整性

  3. ticket加密完毕后,写到客户端的cookie中,后续客户端发起任何请求都要带着这个cookie,服务器会自动进行解密、验证,验证失败,则需要重新登录

优点

对服务器的压力基本为0,服务器只是每次解密验证一下ticket。只需要保证不同的应用服务器中部署的代码中的加解密算法一样就行。

缺点
  • cookie是有大小限制的,所以,如果当ticket过大,就会影响到其它使用cookie的业务
  • 每个请求都要携带cookie,影响性能
  • cookie存在跨域问题

基于token的管理

实现与流程上来说,与cookie的方式一样,区别是,token会放在请求头(这种方式用的比较多)或者请求参数中,而不是cookie中。服务端从请求头或者请求参数中获取到token进行验证。

这种方式对前端的友好度是最高的,前端只需要做两件事:

  1. 有效的存储token,保证需要的时候都能拿得到
  2. 保证每次调用接口时都可以准确的携带token

这两件事都是可以通过全局的组件或者模块封装来实现的,所以说,前端的工作量基本上是0。

刷新

ticket和token都存在一个问题,那就是刷新的问题。因为不管token的期限多久,总会有过期的时候,而如果过期的时候,用户恰好就在应用中操作,那么这时候用户会突然被踢出去,并要求重新登录,这肯定是不合理的。所以这时候就需要为用户自动更新token。

最简单的方式,就是前端捕获错误,而后静默自动登录获取新的token。这种方式的安全性不够,存在无限获取token的bug。于是OAuth2.0推出了refresh token的概念。以此来验证是否有获取新token的权限。

安全问题

基于session的方式,它的安全重心就是SessionId,要保证足够随机才能避免被他人冒充。

基于cookie和token的方式,凭证都是一个在服务端签名加密过的字符串,安全中心就是签名和加密的算法,要保证密钥的安全性才能避免被篡改凭证,冒充他人。

Web应用最难解决的安全问题就是CSRF了。这种问题,从本质上来说,是代码的bug造成的,但是这种bug已经不是表层bug,有的bug甚至是和操作系统关联造成的。这种安全问题是很难遇到的,但是也是最难防护的。只能去了解常见的攻击方式并使用大佬给的应对方法。

至于更高级的,如HTTP劫持等,这些靠代码就已经防护不了了。就需要专业的安全工程师来对服务器就行安全防护。

Lawliet-zhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全学习-攻击会话管理
weixin_30457465的博客
08-02 487
先来说一下什么是会话管理?在绝大多数web应用程序中,会话管理机制是一个基本的安全组件。它帮助应用程序从大量不同的请求中确认特定的用户,并处理它收集的关于用户与应用程序交互状态的数据。会话管理在应用程序执行登陆功能时显得特别重要,因为它可在用户通过请求提交他们的证书后,持续向应用程序保证任何用户身份的真实性。 由于会话管理机制所发挥的关键作用,它们成为针对应用程序的恶意攻击的主要目标。如果攻击者...
自定义会话管理器->SESSION
muzi187的博客
11-27 340
慕课学习-->PHP中的会话控制-->第三章 SESSION的使用-->3-5自定义会话管理器 <?php class CustomSession implements SessionHandlerInterface{ private $links; private $lifetime;//生存周期 public function open($savePath,$session_name)
WEB 会话管理杂谈
panjinww的专栏
05-04 1661
我们做一件事情的时候是依着惯性做事,还是基于深度思考后的决策
Web会话管理安全问题
weixin_42081313的博客
06-11 1256
Web会话管理安全问题
java web会话管理
最新发布
qq_36437991的博客
05-01 789
java web会话管理
3种web会话管理方式
hekewangzi
06-06 516
3种web会话管理方式
web会话管理
huangxiansheng1980的专栏
05-07 786
以下文字转自: http://www.technicalinfo.net/papers/WebBasedSessionManagement.html Web Based Session Management Best practices in managing HTTP-based client sessions Overview The stateless nature
Web安全和会话管理
05-19
一个公司的网站规划草案, 其中涉及的安全和会话管理知识令人读后获益匪浅。 相信我,如果你正在规划建立一个网站, 一定应该认真读读。
shiro会话管理示例代码
09-15
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),直接使用Shiro的会话管理可以直接替换如Web容器的会话管理
JavaWeb Session 会话管理实例详解
09-01
主要介绍了JavaWeb Session 会话管理的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起看看吧
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的...会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
Flask用户会话管理。-Python开发
05-25
Flask-Login Flask-Login提供Flask的用户会话管理。 它处理登录,注销和记住用户会话的常见任务。 Flask-Login未绑定到Flask-Login Flask-Login为Flask提供用户会话管理。 它处理登录,注销和记住用户会话的常见任务...
3种web会话管理的方式
LFSenior
07-24 3161
3种web会话管理的方式 阅读目录 1. 基于server端session的管理2. cookie-based的管理方式3. token-based的管理方式4. 安全问题5. 总结 http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用
SpringBoot中使用undertow
meiyouyaCSDN的博客
10-15 8580
undertow依赖参数配置多端口监听 首先说一下undertow是个啥? undertow是一个采用Java开发的灵活的高性能web服务器。其提供包括阻塞和基于NIO的非阻塞机制。 它是红帽公司的开源产品,是一个完全为嵌入式设计的web服务器。 优点: 轻量:undertow只有几百KB,在嵌入式模式下运行,占用的堆内存也只有4MB左右 servlet兼容:完美兼容servlet3.1 Web...
API统一返回数据格式
meiyouyaCSDN的博客
03-08 1837
如今的项目,基本上都是前后端分离,而且前端的生态也已经很强大。后端基本上只要保证数据响应就可以了。 那么,接口交互就成了前后端对接最重要也是最耗时的工作。而提高交互效率的最好的方法就是统一数据格式,后端把数据丢到一个统一的格式中去,前端解析数据也从固定的格式中去取。这样,前端就省去复杂的无关数据解析,能直接拿到想要的数据。后端也只需要把数据丢到固定的格式中去,不用每次都要包装一下。 格式统一 达到...
日志——快速定位问题的主武器
meiyouyaCSDN的博客
12-21 612
在每个项目中,日志的地位都是举足轻重的,好的日志可以大大提升问题确认的速度,尤其是针对无法断点调试的线上环境。所以好的日志规范是非常必要的。 日志级别 首先不得不说的就是日志的级别,级别的划分主要是为了区分不同目的、不同重要程度的信息,以方便对日志进行过滤。 日志级别由高到底为ERROR>WARN>INFO>DEBUG>TRACE。 ERROR级别的日志用来标注一些影响到...
需要解释web控制会话技术中的cookie
03-04
1. 会话管理Web服务器使用Cookie跟踪用户在应用程序中的活动,并使用该信息来维护用户的会话状态。 2. 个性化: Web应用程序可以使用Cookie存储用户的首选项和设置,例如语言、主题和布局。 3. 跟踪: Cookie...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值