关于session和cookie

最新推荐文章于 2022-10-28 11:43:59 发布
最新推荐文章于 2022-10-28 11:43:59 发布
阅读量166 收藏
点赞数
分类专栏: session cookie 文章标签: session cookie JSESSIONID
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37955930/article/details/103473907
版权

说到session和cookie,想必大家都不会陌生,正巧前些天看了一些这方面的知识,所以结合自己的理解,整理记录一下,希望能对小伙伴有些帮助。

1.产生原因

在B/S架构中,通常是用http请求的形式来进行前后端(或者说客户端与服务端)的交互,但问题就来了,HTTP是一种无状态协议,即服务器不保留与客户交易时的任何状态(这也是其保持较快的响应速度的原因),所以当多个用户同时请求到服务器的时候,服务器到底应该怎么区分不同的用户呢。所以,能不能让用户请求服务器的时候,服务器给该用户一个独一无二的凭证,这样用户下次请求的时候每次都带上这个凭证(就好比每次都要输入密码),然后服务端根据凭证信息就可以知道是谁发起了请求,这样的话,就可以正确区分不同的用户了。基于这种思想,session和cookie就这样产生了。

2.是什么?

  • session
    基于上面的策略,客户端和服务端都应该需要存储凭证的地方,一个用于发送凭证,一个是收到凭证后在凭证库中查找并核对。所以,理所当然地应该分为两个部分。session就主要是在服务器端工作,服务器会为每个用户创建一个session并放在服务器中,这个session就叫会话。
  • cookie
    cookie自然就是在用户本地工作,是存在用户本地的电脑上的由一个个键值对构成的字符串,它可以持久存储。客户端每次发送请求,就会将cookie的值存放在请求头并发送给服务端。

3.session和cookie的联系

客户端第一次向服务端发送请求的时候,客户端的cookie为空,服务端接收到客户端发来的请求后,先查看cookie中有没有JSESSIONID这一项,如果没有,则认为是这个客户端对应的用户是第一次请求,所以会生成一个新的JSESSIONID来对应该用户,如下图的Response Headers中的Set-Cookie项,这代表着给前端返回JSESSIONID,从此之后该用户的请求就会带着这个JSESSIONID,凭此来证明自己的身份。
在这里插入图片描述可以看到之后发送的请求的Request Headers中的cookie都带有刚刚的JSESSIONID,而且是同一个,并且不会产生新的ID。
在这里插入图片描述
可以说,session的机制的实现必须要借助cookie这个载体,通过cookie承载session的id,达到sessionid从客户端到服务端的传递,从而实现了不同会话的跟踪(最近比较流行的token凭证也是相同的原理,比如jwt)。但反过来则不一样,cookie不需要依赖于session,它可以传递其它任何需要的键值对到服务端,服务端有专门的方法获取。

4.session安全规范

  1. 用户登录前后的session应该发生变化。代码示例
    @GetMapping("/login")
    public UserBean login(HttpServletRequest request, HttpServletResponse response){
        //获取登录前session
        HttpSession preSession=request.getSession();
        //若session中带有参数,则先在这里获取并保存参数
        //...
        //然后销毁登录前的session
        preSession.invalidate();
        //登录操作
        UserBean userInfo=doLogin();
        //获取登录后的session
        HttpSession afterSession=request.getSession(true);
        //将刚才保存的参数在这里赋值给新的session
        //...
        return userInfo;
    }

这是登录前的sessionid
在这里插入图片描述
这是登录后的sessionid
在这里插入图片描述
经处理可以看到两次的sessionid已经不一致了。相应的,用户退出登录,也应该改变sessionid,代码如下:

    @GetMapping("/loginout")
    public void logout(HttpServletRequest request){
        HttpSession session=request.getSession(true);
        if(session!=null){
            //注销的时候注意销毁session
            session.invalidate();
        }
    }
  1. session应该主动设置过期时间。
session.setMaxInactiveInterval()

5.其它补充

  1. 后台给前端设置cookie的方法是response.setCookie(cookie),需要注意以下两个方法。

    cookie.setMaxAge(); //若不设置该项,则每次关闭浏览器就清除cookie,和session的生命周期保持一致。
    cookie.setPath(); //默认值是/,即项目域名根目录下,若设置为/demo ,则只有域名下/demo地址才能获取到该cookie

  2. cookie后面带有HttpOnly的意思是安全传输,只能在http传输过程中可以读取,用浏览器的方式无法读取到。

布吉岛zzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于sessioncookie的简单理解
09-02
【关于SessionCookie的简单理解】 在Web开发中,保持用户状态是至关重要的,而HTTP协议本身是无状态的,这就需要我们借助额外的技术手段来实现。本文将介绍两种常用的技术——SessionCookie,它们都是用来跟踪...
关于SessionCookie的一个PPT
03-27
**标题解析:** "关于SessionCookie的一个PPT" 指的是一个关于网络应用程序中的话管理和状态跟踪技术的演示文稿。SessionCookie是Web开发中的关键概念,用于在用户与服务器之间保持状态。 **描述分析:** ...
关于sessioncookie的关系
张家煦的博客
11-18 1314
session的由来 首先我们用浏览器打开一个网页用到的是HTTP协议,是无状态的(就是这一次的请求和上一次的请求是没有任何关系的)这时候,如果两个页面都要用到登陆状态的话,每次都去查数据库的话,就使数据库有很大的压力。 这时候cookie就诞生了,它是把少量的信息存储在用户自己的电脑上,它在一个域名下使一个全局的,只要设置它的存储路径在域名www.a.com下,那么当用户用浏览器访问...
关于SessionCookie的区别与联系
王天泽的博客
09-04 445
1.首先理解两个概念1.HTTP协议是一种无状态协议,协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。2.话(Session)跟踪,话,指用户登录网站后的一系列动作,比如浏览商品添加到购物车并购买。话(Session)跟踪是Web程序中常用的技术,用来跟
php:Session是否必须依赖Cookie
ZYallers
05-05 1214
php中的session可以默认情况下是使用客户端的cookie(以便和普通意义上的cookie区别,我称之为session cookie,普通意义上的cookiecookie)来保存session id的,但是php中的session是否只能使用session cookie呢?    当然不是,否则何必还弄个session出来,不如直接用cookie算了.session的一大优点就是当客
浅谈Request,Session和Model向前端传递数据
大吉的博客
11-15 3528
文章目录前言结论如下图所示:总结及应用 前言 为了弄清楚它们三个如何向前端如何传递数据,我花了半天时间编写Demo来实测,终于搞明白了他们之间的关系。 结论如下图所示: 对号代表前端能接收到从controller传来的数据,错号反之 解释一下第一行和第二行: A页面通过Xcontroller,Xcontroller通过Ycontroller向B页面传递数据, Xcontroller传递数据给Ycontroller的行为,分为A. forward 和 B. redirect 第三行: 意思是A页面直接通过X
前端数据存储系列(CookieSession、localStorage、sessionStorage、Token)
m0_52711377的博客
10-28 3243
Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,实际上Cookie是服务器在本地机器上存储的一小段文本,并随着每次请求发送到服务器。Cookie根据响应报文里的一个叫做Set-Cookie的首部字段信息,通知客户端保存Cookie。当下客户端再向服务端发起请求时,客户端自动在请求报文中加入Cookie值之后发送出去保存时间:默认情况下,当浏览器关闭后,Cookie数据被销毁持久化存储:正数:将Cookie数据写到硬盘的文件中。持久化存储。
带你了解sessioncookie作用原理区别和用法
08-29
本资源主要介绍了sessioncookie的作用原理、区别和用法,帮助读者更好地理解两者之间的关系。 Cookie概念 Cookie是浏览器端存储的一种小文本文件,用于记录用户的信息,以便在后续的访问中使用。Cookie可以根据...
SessionCookie区别.docx
12-23
综上所述,CookieSession各有优势和不足。选择哪种机制取决于具体应用场景的需求。例如,在安全性要求较高的场景下,建议使用Session;而在对性能要求较高且数据量较小的情况下,则可以选择使用Cookie。实际开发...
关于cookiesession最全解释
抛弃幻想,准备斗争
02-17 4231
cookiesession 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个...
深入分析理解sessioncookie的作用
Mreden的博客
04-06 2万+
sessioncookie在web开发中我们用到的不少了,那么关于sessioncookie你有深入理解吗?今天我们就一起来看一篇关于深入分析理解sessioncookie的作用的例子。 在Web发展历史中,sessioncookie都是伟大的存在,其初衷都是为了记住用户在网站上的浏览信息,如果没有其他替代品的出现,几乎所有web站点都离不开sessioncookie。 为什
关于cookiesession的一些理解
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
05-18 817
一、HTTP:无状态应用协议 超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。 HTTP协议是无状态的应用协议。 1.无状态指的是什么 1)服务器对事物的处理没有记忆能力,服务器不知道客户端是什么状态。 客户端向服务器发送HTTP请求,服务器回应之后,服务器本身不会有任何记录。 2)每个HTTP请求都是独立的。 一旦数据交换完毕,客户端与服务器端的连接就关闭,再次交换数据需要建立新的连接。 这就意味着服务器无法从连接上跟踪用户登录网站后的
cookiesession 的区别详解
bamboo_cqh的博客
02-17 1022
cookiesession 的区别详解 这些都是基础知识,不过有必要做深入了解。先简单介绍一下。 二者的定义: 当你在浏览网站的时候,WEB 服务器先送一小小资料放在你的计算机上,Cookie 帮你在网站上所打的文字或是一些选择, 都纪录下来。当下次你再光临同一个网站,WEB 服务器先看看有没有它上次留下的 Cookie 资料,有的话,就依据 Cookie
SessionCookie的区别
weixin_34326179的博客
11-29 595
这里是修真院前端小课堂,每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析前端知识/技能,本篇分享的是: 【SessionCookie的区别】 1.背景介绍 什么是Cookie Cookie 是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方...
CookieSession深入研究
在此立一个IT职业上的flag:https://github.com/Zeb-D/my-review
08-04 1万+
文章来源:https://github.com/Zeb-D/my-review ,请star强力支持。 CookieSession详解 话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个话。常用的话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 我们接下来从cookie、sessio...
什么是session?什么是cookiesessioncookie有什么区别?
IT修真院:初学者转行到互联网的聚集地
05-20 3万+
这里是修真院前端小课堂,本篇分析的主题是 【什么是session?什么是cookiesessioncookie有什么区别?】 每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析前端知识/技能,本篇分享的是: 【什么是session?什么是cookiesessioncookie有什么区别?】 什么...
CookieSession的理解
aonnukgkmn753855的博客
12-28 179
本篇文章系自己总结经验,如果有朋友感觉哪里有问题,欢迎留言评论,谢谢~! CookieSession的产生背景: 在动态页面里面,每个变量都是有有效期的,所有的变量的最大生命周期就是一个脚本的周期(拿PHP来说,浏览器向服务器发出一次请求,请求到达服务器后,服务器将该请求交由PHP处理,PHP处理完了以后交给服务器,最后服务器响应给浏览器,这就是一个脚本周期,也就是一个变量...
sessioncookie 区别(面试)
热门推荐
why
10-29 3万+
session原理: 1、session是保存在服务器端,理论上是没有是没有限制,只要你的内存够大 2、浏览器第一次访问服务器时创建一个session对象并返回一个JSESSIONID=ID的值,    创建一个Cookie对象key为JSSIONID,value为ID的值,将这个Cookie写回浏览器 3、浏览器在第二次访问服务器的时候携带Cookie信息JSESSIO
sessioncookie的简单理解
weixin_30593261的博客
06-07 128
0. 引子,我们为什么要cookiesession 因为http请求是无状态的(不能记录用户的登录状态等),所以需要某种机制来保存用户的登录状态等信息,在下次访问web服务的时候,不用再次校验是否登录等状态,session机制和cookie机制分别是在服务器端和浏览器端的解决方案。 1.关于cookie 1.1 什么是cookie cookie,原意饼干。用来在浏览...
在JSP中,关于sessioncookie的说法错误的是
最新发布
06-09
以下是关于sessioncookie的说法错误的选项: 1. sessioncookie都是用来在客户端和服务端之间传递数据的,但是它们的实现机制和存储位置不同。 2. session是在服务端保存的一个对象,可以用来存储用户的话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值