Cookie/Session机制

已于 2022-05-13 17:47:15 修改
阅读量883 收藏
点赞数
分类专栏: cookie和session 文章标签: java
于 2022-04-15 18:32:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34486648/article/details/124201259
版权

Cookie

个人总结:
目前项目里前端会把cookie会放在请求header头里,只是传输一种方式, 每次请求接口都会校验cookie里的用户信息是否正确

  1. 用户登陆,前端点击url前端直接访问登录页,后端赋值cookie和过期时间,并且跳转默认页面
  2. 访问网站,比如点击系统某个按钮,但是需要登录才能访问,(1)前端先进行校验,如果前端代码调用获取cookie为null(不存在),即cookie清除(没有进行首次登录或者手动清除浏览器缓存cookie信息都会为null),则前端直接跳转到登录页,登录页点击登录成功则赋值cookie和过期时间,并且跳转默认页面,(2)如果前端代码调用获取cookie为非null(存在),进入后端此时拦截器里先进行用户校验cookie里的用户信息是否与数据库(或者redis{可以先查redis-查不到在查数据库,或者没有redis只查数据库})匹配,如果不匹配,即cookie过期,后端跳转到登录页, 如果匹配成功,则正常访问接口
  3. 用户首次登录和数据库进行校验,记录到cookie中,以后每次访问都判断下cookie和数据库用户信息是否匹配
  4. 怎么避免每次检查cookie都要查询数据库?其实,这个问题的核心问题应该是怎样 避免伪造cookie 只要别人无法伪造cookie就行了,但目前避免伪造的根本方法好像还是把cookie的值拿出来和数据库的值比对

Session机制

除了使用Cookie,Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力

个人总结:
一般B端老的项目里应用

  1. 用户登陆,前端点击url前端直接访问登录页,后端赋值session和过期时间,并且跳转默认页面
  2. 访问网站,比如点击系统某个按钮,但是需要登录才能访问,此时拦截器里先进行用户校验,如果session不是空的,有此用户信息,则用户信息校验通过,可以正常访问接口, 如果校验不通过(session用户信息不存在),则后端直接跳转到登录页
  3. 用户首次登录和数据库的校验一次后,记录到session中,以后就不用检测了,每次都判断下session是否存在这个用户信息就可以,不用再去数据库校验

什么是Session

  • Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session,客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了
  • 如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份,Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了

实现用户登录

  • Session对应的类为javax.servlet.http.HttpSession类,每个来访者对应一个Session对象,所有该客户的状态信息都保存在这个Session对象里,Session对象是在客户端第一次请求服务器的时候创建的,Session也是一种key-value的属性对,通过getAttribute(Stringkey)和setAttribute(String key,Objectvalue)方法读写客户状态信息,Servlet里通过request.getSession()方法获取该客户的Session

Session的生命周期

  • Session保存在服务器端,为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session,如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出,因此,Session里的信息应该尽量精简
  • Session在用户第一次访问服务器的时候自动创建,需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session,如果尚未生成Session,也可以使用request.getSession(true)强制生成Session,而springboot项目需要使用request.getSession(true)创建Session
  • Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次

Session的有效期

  • 由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了

  • Session的超时时间为maxInactiveInterval属性,可以通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(longinterval)修改

  • Session的超时时间也可以在web.xml中修改,另外,通过调用Session的invalidate()方法可以使Session失效

Session总结:

  1. 当多个客户端执行程序时,服务器会保存多个客户端的Session,获取Session的时候也不需要声明获取谁的Session,Session机制决定了当前客户只会获取到自己的Session,而不会获取到别人的Session,各客户的Session也彼此独立,互不可见
  2. 提示:Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,会对服务器造成压力

暂定,待完善
参考:link1link2

阿东-007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Session过期/失效的理解,sessioncookie的交互
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
04-20 1万+
一直好奇关于Session的过期,一种说法是关闭浏览器即Session失效,另一种说法是可以设置Session的过期时间,时间到了自动过期。 这两种说法到底是怎么回事?Session过期跟Cookie过期又有什么关系? 网上搜了几篇相关文章: http://www.cnblogs.com/Vae1990Silence/p/4630392.html http://blog.csdn.net/...
Cookie/Session机制详解
热门推荐
瞧字不识
11-09 45万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
sessioncookie的理解
ITWANGBOIT的博客
10-27 2842
两者都存在有效期的说法 我们第一次访问系统后端时,后端会生成一个session来为本次请求服务,并把session的id返回浏览器端,存在名字为JSESSIONID的cookie中; 后端生成的session存在有效期的说法,好像默认是30分钟,可以通过设置指定有效时间;浏览器中的cookie也存在有效期的说法,默认是关闭浏览器后cookie过期,也可以通过设置来指定有效时间; 两者的对应关系 后端的session和前端cookie中的sessionid是对应的,两者任意一方失效,就会导致对应不上,
cookie前端写还是后端写
sally18的博客
08-05 5314
1.前端写cookie 前端写cookie对前端理解整个项目的逻辑来说有很大的帮助,也更符合惯性思维,我想要获取用户的信息,那么就把用户的id提供给你。 优势:前端逻辑清晰,容易理解 缺点:不安全,cookie可能被篡改 2.后端写cookie 后端写cookie对前端来说就是个黑盒子,我只要向后端发送申请,就可以拿到当前用户的信息,尽管我不知道用户的id。操作简单,理解起来不太友好。 优势:操作简单,安全性高 缺点:好像没啥缺点 3.两边都写cookie 这应该就是2B程序猿..
java 后台设置cookie
qq_39997045的博客
12-28 2265
现在前后端分离技术是一个比较流行的开发模式,前端与后端分别运行在不同的环境中,后端没有与前端直接关联 前端向用户展示页面,后端向前端提供数据接口,前后端通过唯一标识token进行数据交互 什么是token token是前后端交互的凭证, 拿着这个凭证前端可以频繁访问后端且不用做权限验证 token生成步骤 1. 前端用户登录后,后端会返回一个唯一标识token, 2. 前端将token存起来,每次访问后台时都会带着这个token, 3. 后端会根据请求里的token并...
聊聊 CookieSession、Token 背后的故事
HEMM000的专栏
10-17 203
聊聊 CookieSession、Token 背后的 来源 | 作者 | 今天和大家聊一下关于 CookieSession、Token 的那些事儿。 这是我的一个读者朋友面试微信的实习岗位时遇到的,在此和大家分享一下。 话不多说,直接开车。 网站交互体验升级 作为网友的我们,每天都会使用浏览器来逛各种网站,来满足日常的工作生活需求。 图片 现在的交互体验还是很丝滑的,但早期并非如此,而是一锤子买卖。 1.1 无状态的 http 协议 无状态的 http 协议是什么鬼? HTTP 无状态协议,是指协议
Cookie/session机制详解
博客之家
08-31 528
Cookie机制 什么是CookieCookie是Web服务器保存在客户端的一系列文本信息。 Cookie的作用: 对特定对象的追踪。 统计网页浏览次数。 简化登录。 安全性能: 容易信息泄露。 Cookie不是内置对象 Cookie保存的都是文本信息 Cookie是在客户端发挥作用 Cookie的语法: 设置Cookie属性的常用方法。 Cookie设置有...
Cookie/Session机制详解与区别
john548的专栏
08-04 1650
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制
CookieSession机制.doc
08-26
CookieSession 机制 Cookie 机制是 Web 程序中常用的技术,用来跟踪用户的整个会话。Cookie 通过在客户端记录信息确定用户身份。下面是 Cookie 机制的详细说明: 1. 什么是 CookieCookie 意为“甜饼”,是...
Cookie-Session机制详解.docx
02-14
Cookie-Session 机制详解 Cookie 机制是 Web 程序中常用的技术,用来跟踪用户的整个会话。Cookie 通过在客户端记录信息确定用户身份。Cookie 的工作原理是当客户端请求服务器,如果服务器需要记录该用户状态,就...
django框架之cookie/session的使用示例(小结)
09-20
在Web开发中,Django框架提供了方便的cookiesession管理机制,用于解决HTTP协议无状态的问题。HTTP协议本身不支持会话跟踪,因此需要借助额外的技术,如cookiesession,来实现用户状态的维护。 一、HTTP协议无...
Cookie-Session机制详解.txt
02-14
Cookie-Session机制详解
CookieSession机制详解.doc
10-09
CookieSession机制详解 Cookie机制是Web程序中常用的技术,用来跟踪用户的整个会话。Cookie通过在客户端记录信息确定用户身份。Cookie机制可以弥补HTTP协议的无状态特性,使服务器可以从客户端获取用户信息,以便...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1216
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java-Lambda
lizhiwei21的博客
07-21 506
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 804
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件
最新发布
weixin_43561432的博客
07-24 284
【代码】Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 2177
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
cookie/session机制详解
06-06
CookieSession 是两种用于在客户端和服务器之间存储用户状态的技术。 Cookie 是一种存储在客户端浏览器中的小型文本文件,用于在浏览器和服务器之间保持状态。Cookie 可用于记住用户的登录信息、偏好设置等。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值