通过代码,聊一下http请求中常会用到的cookie和session

最新推荐文章于 2024-11-13 09:14:37 发布
最新推荐文章于 2024-11-13 09:14:37 发布
阅读量809 收藏 11
点赞数 11
文章标签: http 网络协议 网络 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33618234/article/details/142418384
版权

Hello,大家好,今天跟大家聊一下客户端与服务器进行会话时,常用的技术cookie和session。

很多小伙伴,在面试的时候,都会背“cookie是保存在客户端的,session是保存在服务器端的……”

八股文谁都会背,但仅仅会背诵,却不理解,知识点很快就会忘记。今天,我们就结合代码来讨论一下这背后的原理到底是怎样的。

1、为什么要有cookie和session这些东西

Http,它是无状态协议,服务端无法感知到浏览器的登录状态。

所以,判断用户是否登录的任务就交给了服务器。

服务器则需要另外找寻字段来存放状态信息,然后根据这个字段,选择是否允许用户访问相应的内容。

因此,cookie诞生了。

2、Cookie

2.1 Cookie简介

cookie 中文叫作 “曲奇饼”,不太清楚为什么叫这个名字。

它在http的请求头和响应头中,都有对应的字段存储它。

  • 在请求头中是cookie
  • 在响应头中是set-cookie

如下图,是一个请求头,携带着的cookie字段。

在这里插入图片描述

2.2 Cookie是怎么用的

cookie可以理解为:保存在你电脑上的一段个人信息。

咱就以最简单的登录场景为例:

如果你第一次访问B站,那你肯定还没有进行过登录,因此,你访问的请求头里肯定也没有cookie字段。

当你登录成功之后,响应头会返回给你一个set-cookie字段,标识着服务器分配给你的cookie。(你可以开启无痕浏览模式,访问B站试一下)

在这里插入图片描述

在接收到这个请求之后,你的浏览器会将cookie保存下来。

然后,在下次浏览的时候。浏览器会在请求头中添加这个cookie,给到服务器。

接着,服务器会对你这个cookie,进行识别,来判断你的登录状态。

我这里用一段nodejs代码,演示一下:服务端处理的逻辑。

const express = require('express');
const app = express();
const cookieParser = require('cookie-parser');

app.use(cookieParser());

// 模拟用户数据库
const users = [
  { username: 'user1', password: 'pass1' },
];

app.post('/login', (req, res) => {
  const { username, password } = req.body;
  const user = users.find(u => u.username === username && u.password === password);
  if (user) {
    // 设置登录成功的 cookie
    res.cookie('loggedIn', true, { maxAge: 900000, httpOnly: true });
    res.send('Login successful');
  } else {
    res.send('Login failed');
  }
});

app.get('/protected', (req, res) => {
  // 检查登录 cookie
  if (req.cookies.loggedIn) {
    res.send('This is a protected resource.');
  } else {
    res.send('You need to log in to access this resource.');
  }
});

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

2.3 cookie存在不安全的问题

http携带着cookie,进行数据传输的时候,伴随着一定的风险。

万一这个请求被人劫持了咋办?

别人把http报文解析之后,你的个人信息username = zhangsan,不就完完全全地暴露出来了吗?

为了解决这个问题,session应运而生。

3、 Session是什么,以及怎么用

Session这个玩意,在我们日常使用的时候,就是一段ID。

这段ID,既不会暴露信息,又没有什么规律。

所以,它即便被别人劫持了,也不会出现信息泄露的风险。

Session一般有两种用法:

一个是放在url中,例如:某个站点是http://example.com,那么session数据可以作为url中的查询参数,放在其中:http://example.com/somepage?sessionId=123456

另外一个是放在请求头cookie中。没错,它需要放在http请求头,配合cookie字段一起使用。

针对第二种场景,用nodjs代码展示如下:

const express = require('express');
const session = require('express-session');
const mongoose = require('mongoose');
const MongoStore = require('connect-mongo');
const bcrypt = require('bcryptjs');

const app = express();

// 连接MongoDB
mongoose.connect('mongodb://localhost:27017/userAuth', {
  useNewUrlParser: true,
  useUnifiedTopology: true
});

// 用户模型
const UserSchema = new mongoose.Schema({
  username: String,
  password: String
});

const User = mongoose.model('User', UserSchema);

// 设置会话中间件
app.use(
  session({
    secret: 'your_secret_key',
    resave: false,
    saveUninitialized: true,
    store: MongoStore.create({ mongoUrl: 'mongodb://localhost:27017/mysession' }), // 使用MongoDB存储会话
    cookie: { secure: false } // 在HTTPS下设置为true
  })
);

// 注册新用户
app.post('/register', async (req, res) => {
  try {
    const hashedPassword = bcrypt.hashSync(req.body.password, 8);
    const user = new User({ username: req.body.username, password: hashedPassword });
    await user.save();
    res.send('用户注册成功');
  } catch (error) {
    res.status(500).send('用户注册失败');
  }
});

// 用户登录
app.post('/login', async (req, res) => {
  try {
    const user = await User.findOne({ username: req.body.username });
    if (user && bcrypt.compareSync(req.body.password, user.password)) {
      req.session.userId = user._id;
      res.send('登录成功');
    } else {
      res.status(401).send('用户名或密码错误');
    }
  } catch (error) {
    res.status(500).send('登录失败');
  }
});

// 用户登出
app.get('/logout', (req, res) => {
  req.session.destroy((err) => {
    if (err) {
      return res.send('会话销毁失败');
    }
    res.send('你已退出登录');
  });
});

// 受保护的路由
app.get('/protected', (req, res) => {
  if (req.session.userId) {
    // 验证用户ID是否存在于数据库中
    User.findById(req.session.userId, (err, user) => {
      if (err || !user) {
        return res.status(401).send('用户验证失败');
      }
      res.send('欢迎回来,这是受保护的页面!');
    });
  } else {
    res.status(401).send('请先登录');
  }
});

const PORT = 3000;
app.listen(PORT, () => {
  console.log(`服务器运行在 http://localhost:${PORT}`);
});

在这里,我们使用mongodb来存储用户数据。

用户在登录成功之后,便把mongodb中存放的用户ID(_id)数据放入set-cookie字段中,返回给浏览器。

请添加图片描述

当浏览器再次访问时,它将在http请求头的cookie字段中,携带这个sessionid,进行会话。

请添加图片描述

4、最后总结

从上面的案例中可以看到,在使用session的时候,我们其实是在使用_id进行登录状态验证的。

当服务端拿到_id之后,会去检查_id,是否存在于mongodb数据库中。如果存在,则证明用户是正常登录的,可以展示给他对应的用户数据。

而cookie则是直接使用保存在浏览器中的用户名进行比较,相对来说,安全性会更差一些。

这就是为什么八股文里会讲:cookie保存在客户端,session保存在服务端的原因了。

PHP代码审计
qq_73792226的博客
09-02 1375
目的:对源代码进行审计,寻找代码中的BUG安全漏洞。
Python面试题大全(三)
java_spring6的博客
04-29 185
实现wsgi协议的模块:wsgiref,本质上就是编写一socket服务端,用于接收用户请求(django) werkzeug,本质上就是编写一个socket服务端,用于接收用户请求(flask) uwsgi: 与WSGI一样是一种通信协议,它是uWSGI服务器的独占协议,用于定义传输信息的类型。 uWSGI: 是一个web服务器,实现了WSGI的协议,uWSGI协议,http协议 143.Django、Flask、Tornado的对比? 1、 Django走的大而全的方向,开发效率高。它的MTV框架,自带
http请求cookies
07-17
http请求cookies,可提供post与get请求,得到网页的内容,根据请求的方法去选择get或者post请求
【IOS学习】网络请求中的cookie
将来的你
08-24 3477
服务端代码 //设置cookie function cookie(req,res){ //打印客户端的cookie console.log("client cookie:"+req.headers.cookie); var today = new Date(); var time = today.getTime() + 60*1000; var time2
理解HTTP中的CookieSession:机制、安全性与报头响应
最新发布
卜及中的博客
11-13 1267
对于一般的信息,可以使用Cookie,但对于一些私密性较高的数据,比如用户密码, 浏览痕迹等,如果使用Cookie保存在客户端,很容易被窃取造成泄露,为了避免这一情况,我们引入了Session的概念。需要注意的是,set-Cookie 的时间格式必须遵守 RFC 1123 标准, 具体格式样例: Tue, 01 Jan 2030 12:34:56GMT 或者 UTC。根据上面的内容,我们知道Cookie是存储在客户端中的,存在被篡改或窃取的风险;是在客户端服务器之间传递的, 因此也存在被窃取的风险。
网络请求cookie的使用
冻冰粉星的博客
07-17 732
首先我们要清楚网络请求是无状态的,也就是说请求响应一次就结束了,下一次再去请求,服务器根本不知道这次上次请求是不是同一个来源,所以呢,cookie就诞生了,就是服务器在接收请求之后,会创建cookie,响应的时候将cookie发送给客户端,下次如果客户端发送请求的时候把cookie中的信息一起发送给服务端,那服务端就会确定这次上次请求是同一个客户端发起的。
Httphttp请求cookie
It_sharp的博客
08-27 2063
Cookie的作用 Cookie是用于维持服务端会话状态的,通常由服务端写入,在后续请求中,供服务端读取。 HTTP请求Cookie的使用过程 1、server通过HTTP Response中的”Set-Cookie: header”把cookie发送给client 2、client把cookie通过HTTP Request 中的“Cookie: header”发送给server...
网络请求Cookie组成
zhangcanyan的博客
11-20 1596
Cookie是由变量名值对组成(key,value)。其属性里既有标准的Cookie变量,也有用户自己创建的变量,属性中变量是用“变量=值”形式来保存。根据Netscape公司的规定,Cookie格式如下:       Set-Cookie: NAME=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;SECURE  1、 NAME=VALUE:  
ASP基于BS结构的旅游网站的开发与设计(源代码+论文).zip
01-07
ASP.NET是微软公司推出的一种用于构建Web应用程序的框架,它基于.NET...通过深入研究源代码论文,开发者能够学习到如何构建一个完整的在线旅游服务系统,包括后台管理、用户界面设计、数据管理、安全控制等多个模块。
python爬虫常用代码
09-20
Python爬虫常用的代码通常涉及以下几个库步骤: 1. **BeautifulSoup** 或 **Scrapy**: 这两个库用于解析HTML文档,BeautifulSoup更适合简单网页,而Scrapy是一个强大的框架,适合处理大型网站。 ```python from ...
整理的最全 python常见面试题(必考)
weixin_44604087的博客
03-13 473
最近开始整理python的资料,博主建立了一个qq群,希望给大家提供一个交流的平台 78486745 。 1、大数据的文件读取 ① 利用生成器generator ②迭代器进行迭代遍历:for line in file 2、迭代器生成器的区别 1)迭代器是一个更抽象的概念,任何对象,如果它的类有next方法iter方法返回自己本身。对于string、list、dict、tu...
http(请求方法,状态码,CookieSession)
分享学习的知识,记录我的技术成长道路
08-25 929
此时就可以保证浏览器中的Cookie的信息是服务端文件的session_id,所有的http请求都会有浏览器自动携带cookie中的session_id,后序server依旧可以认识client,,也是一种会话保持的功能,但是我们还有cookie文件被泄漏的风险。注意:由于应用层是人要参与的,人的水平参差不齐,http的状态码很多人不清楚该如何使用,又因为浏览器的种类太多了,导致可能对状态码的支持没有那么好,类似于404的状态码对浏览器没有指导意义,浏览器只会正常显示网页。基本所有的网站都有其对应的首页。
HTTP基础之Cookie
...的博客
11-21 388
一般来说,了解一样东西的流程是这样的 是什么 长啥样 有啥用 怎么用 优点 缺点 按照这个逻辑,概览如下 是什么 -> Cookie(复数形态 Cookies ),中文名称为“小型文本文件”或“小甜饼” 长啥样 -> 打开你的浏览器,访问 谷爹,在 console 中执行 document.cookie :) 就是它! 有啥用 -> 网站用它在客户端(浏览器)存储少量信息 怎么用 -> 通过 HTT
HTTP系列之:HTTP中的cookies
热门推荐
程序那些事
09-02 1万+
如果小伙伴最近有访问国外的一些标准网站的话,可能经常会弹出一个对话框,说是本网站为了更好的体验跟踪,需要访问你的cookies,问你同意不同意,对于这种比较文明的做法,我一般是点同意的。
HTTPcookie基础学习
weixin_51182789的博客
08-14 2740
cookie 的失效日期并没有改变,因为 cookie 的标识符是相同的。另一个控制 Cookie 消息头发送时机的选项是 path 选项, domain 选项类似,path 选项指定了请求的资源 URL 中必须存在指定的路径时,才会发送 Cookie 消息头。当存在一个 cookie,并允许设置可选项,该 cookie 的值会在随后的每次请求中被发送至服务器,cookie 的值被存储在名为 CookieHTTP 消息头中,并且只包含了 cookie 的值,忽略全部设置选项。
[网络]HTTP协议 CookieSession
m0_74910646的博客
09-07 1285
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
HTTP】客户端识别与cookie机制
李刚的学习专栏
06-06 2750
​ 做数据产品时,我们会经常遇到用户隐私问题(如,禁止追踪)。在最新的Chrome浏览器中该选项已被默认选中设置=>显示高级设置=>随浏览流量一起发送”不跟踪”请求开启该选项后,请求头中会增加DNT:1的字段。 ​ 然而,大多数产品都希望提供一个类“免责声明”的文档,然后主动管理该DNT。所以我们只能借助其他方式(这里常用的方式是第三方Cookie,见文档Cookie章节)去实现,下述
HTTPCookie Session 详解
Gmerrysong 的博客
09-20 1597
带你一文彻底搞懂 Cookie Session
cookie
m0_63803244的博客
09-27 1671
cookie是客户端(浏览器)在发送http请求后与客户端通信后客户端产生的一些数据,这些数据由客户端保存称“cookie”。本质上来讲cookie就是小型的文本信息,保存在客户端。用户访问网页时都可以对cookie信息进行查看修改,因此用cookie存储是不安全的,不存放诸如密码、身份证、电话号码等个人敏感信息。例如可以查看百度的cookie:我们可以看到在cookie信息中:存放了cookie的键、值、有效时间、domain、path等属性。其中domin是cookie有效的主机地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

热爱技术和分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值