session 的原理

最新推荐文章于 2024-07-14 16:43:41 发布
最新推荐文章于 2024-07-14 16:43:41 发布
阅读量1k 收藏 26
点赞数 27
分类专栏: 浏览器 文章标签: 前端 session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40147756/article/details/135158386
版权

目录

1,session 的原理

建议先看这篇文章:浏览器 cookie 的原理(详) 介绍了身份验证的步骤:

在这里插入图片描述

简单来说,服务器向客户端发送的【出生证】就是一个 cookie 信息,客户端收到后保存在硬盘中,之后的请求会自动带上对应的 cookie,服务器验证 cookie 信息成功后,允许之后的操作。

一般来说,session 和 cookie 是联合起来使用的,简单的数据放 cookie,复杂的放 session。

关键点有2个:

  1. cookie 中的关键信息 key=value 中的 value 是如何生成的?

value 有2种形式,一种是 jwt令牌,一种就是 sessionId

session 是保存在服务器端的键值对,通过 sessionId 和客户端关联。sessionId 一般会使用 uuid(全球唯一标识码:Universally Unique Identifier)来表示(可通过时间戳,mac 地址,计数器等通过算法实现)。

  • 服务器如何验证?

对比出入证 sessionId 即可。

如何删除 session

因为浏览器关闭并不会主动通知服务器,所以即便 cookie 是会话级别(默认过期时间),关闭浏览器 cookie 删除,也不会影响到服务器的 session,所以需要一些手段让服务器认为客户端已经停止了活动,把 session 删除以节省空间。

1,设置过期时间

当服务器设置过期时间后,当客户端长时间没有传递 sessionId 过来时,服务器即可自动清除 session。

2,客户端主动通知

使用 js 监听页面关闭或其他退出操作,此时通知服务器删除 session。

2,和 cookie 的区别

cookiesession
存储位置客户端,不占用服务器资源服务器,占用服务器资源
存储格式仅字符串任意格式
存储大小每个网站仅 4kb理论上无上限
安全性易被获取和篡改,易丢失<-- 相反

安全性举例:验证码

(实际不可能这样做)如果这样做的话,那就绕开验证了:随便填别人的手机号,在 cookie 中获取验证码就能登录了。

可通过 session 机制来解决:
在这里插入图片描述

3,举例

可以使用中间件 koa-session 来更容易的操作 session。

默认情况下,koa-session 会将 session 保存在服务器的内存中。也就是说,重启服务器就会清空,测试时需注意。

const Koa = require("koa");
const Router = require("koa-router");
const { bodyParser } = require("@koa/bodyparser");
const session = require("koa-session");

const app = new Koa();
const router = new Router();

app.keys = ["some secret hurr"];

app.use(session(app));

router.post("/api/login", (ctx) => {
  const { name, pwd } = ctx.request.body;
  if (name === "下雪天的夏风" && pwd === "123") {
    ctx.session.id = name;
    ctx.body = "登录成功";
    ctx.response.redirect("/api/home");
  } else {
    ctx.body = {
      code: 500,
      msg: "用户名或密码错误",
    };
  }
});

router.get("/api/home", (ctx) => {
  if (ctx.session.id) {
    ctx.body = "home";
  } else {
    ctx.body = {
      code: 500,
      msg: "未登录",
    };
  }
});

router.get("/api/logout", (ctx) => {
  // 清空登录信息
  ctx.session = null;
  ctx.body = "退出登录";
});

app.use(bodyParser()).use(router.routes());
app.listen(3001);

<form action="http://localhost:3001/api/login" method="post">
  <input type="text" name="name" />
  <input type="password" name="pwd" />
  <button>提交</button>
</form>

效果:

在这里插入图片描述

注意到退出登录后,浏览器端的 cookie 就删除了。这是因为当调用 logout 接口时会设置 ctx.session = null,会向浏览器添加如下 cookie,有效期设置为过去的时间,所以直接删除了。同时服务器中对应的 session 也会被清空。

在这里插入图片描述

以上。

下雪天的夏风
关注
  • 27
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
session原理
02-24
session原理 session原理 session原理 session原理 session原理
PHP的cookiesession原理及用法详解
10-16
本文将深入探讨这两种技术的原理、用法以及PHP中操作它们的方法。 首先,理解cookie的产生背景。由于HTTP协议是无状态的,服务器无法记住两次请求之间的关联,为了解决这个问题,cookie应运而生。cookie存储在...
Session原理
热门推荐
小白学编程
06-18 26万+
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 开发工具与关键技术:Java,HTTP协议,session原理 撰写时间:2019-06-17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~...
spring-session原理
dayu_cheng_chuan的博客
07-22 2248
转载地址:https://www.cnblogs.com/lxyit/p/9672097.html 前言 在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 为什么要spring-session 比较traditional-session方案和spring-session方案 JSR340规范与spring-session的透明继承 一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等web容器时,用户的
session的工作原理
weixin_44470961的博客
07-01 2957
转自:https://cloud.tencent.com/developer/article/1333916 https://aoyouzi.iteye.com/blog/2310193 一、前言 什么是SessionSession字面含义就是会话。由于HTTP是无状态协议,为了保持浏览器与服务器之间的联系,才有了SessionSession就是用于在服务器端保存用户状态的协议。通常用来保存...
spring-session 原理及源码解析
top_explore的博客
04-01 2398
1 什么是spring-session? spring-session是spring大家庭下的一个子项目,她的出现是为了集中管理session会话,解决多应用环境下的session共享问题,虽然她是spring框架下的子项目,但是spring-session不依赖于spring框架,可以将spring-session用于其他框架下提供session管理能力。 2 为什么会出现session共享...
Redis共享Session原理及示例
moxiaomomo的专栏
09-17 1万+
Redis共享session的作用 微服务自身可以保持无状态,应用实例数量的多少不会影响用户登录状态; 可实现单点登录的踢出功能,如可以让上次异地登录的用户下线; session在多个服务或服务器间共享,实现多站点单点登录(参考SSO服务) Redis缓存session原理简述 其工作原理,可简单用图描述(假设服务A运行有有个多个实例): Springboot-session结合Redis示...
spring session原理
老卢的作坊
10-24 1265
spring session是干什么的,有什么作用?这些读者可以自行从百度上找到,本文主要是从配置、原理、流程等几个方面来了解spring session
SpringSession原理简析
学习总结
05-20 1376
Session原理Session是存在服务器的一种用来存放用户数据的类哈希表结构,当浏览器第一次发送请求的时候服务器会生成一个hashtable和一个sessionid,sessionid来唯一标识这个hashtable,响应的时候会通过一个响应头set-cookie返回给浏览器,浏览器再将这个sessionid存储在一个名为JESSIONID的cookie中。
Spring全家桶学习之—Spring Session原理及使用
liuyuii的博客
03-15 829
spring全家桶之一,简单来说就是session + redis的组合
分布式session ——Spring Session原理、实战解决 子域之间的 session 共享问题、不同服务器 session 共享解决方案
想去很远地方
08-02 4332
在大型项目中,一个 Tomcat 需要保存其他所有 Tomcat 的 session 数据,之间的来回复制占用资源,同时保存数据占用内存。注意:如果是以实体类的形式向 redis 存储 session,相关的实体类要实现序列化。根据官方文档新建一个配置类来设置存储的 CookieName 以及 设置保存到父域。使用SpringSession 解决以下两个问题。根据用户访问的 ip 地址固定用户访问的服务器。redis 中 保存的 session。......
HTTP Session原理
sky198989的博客
08-26 3070
深入理解HTTP Session   session在web开发中是一个非常重要的概念,这个概念很抽象,很难定义,也是最让人迷惑的一个名词,也是最多被滥用的名字之一,在不同的场合,session一次的含义也很不相同。这里只探讨HTTP Session。   为了说明问题,这里基于Java Servlet理解Session的概念与原理,这里所说Servlet已经涵盖了JSP技术,因为JSP最...
Nodejs 和Session 原理及实战技巧小结
10-19
主要介绍了Nodejs 和Session 原理及实战技巧小结,需要的朋友可以参考下
理解HTTP session原理及应用
04-24
本文将深入探讨HTTP Session原理及其在实际应用中的作用。 首先,理解"session"一词的含义至关重要。在一般语境中,session指的是有始有终的一系列动作或消息,例如打电话的过程。而在Web开发中,session则被赋予...
JavaWeb session 原理分析
01-28
借助tcpmon对http协议进行分析,通过用myeclipse来开发servlet和jsp,并且通过浏览器的请求来分析sessioncookie之间的关系,以及session原理
OpenSNN推文:近期优质博客推荐汇总
opensnn的博客
07-12 323
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
springmvc1
最新发布
benpaodeDD的博客
07-14 141
以前的servlet程序:
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 302
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 205
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
jsp中的session原理
06-09
session 是通过 HttpSession 接口实现的,它的工作原理如下: 1. 当用户第一次访问某个 JSP 页面时,服务器会为该用户创建一个 session 对象,并将该 session 对象的 ID 存储在一个名为 JSESSIONID 的 cookie 中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

下雪天的夏风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值