HTTP cookie 和 session
注
1一种关于登录的场景演示 - CSDN 登录和未登录
-
在我们使用浏览器登陆CSDN的时候,为什么我们每次点击CSDN进入CSDN的时候,只要我们有一次进行登陆进去了,在很长的一段时间,每次我们关闭电脑,或者关闭浏览器的时候,我们再次点击浏览器尽量CSDN的时候都是直接登陆了我们的账号。再就是我们使用CSDN的时候,无论我们有没有进行登陆,大部分的文章我们都是可以进行阅读的,但是也有一些文章是要进行登陆后才能进行观看的,也有的是要有会员才能进行阅读的,也有的是要进行付费后才能进行阅读的,那么这个服务器到底是怎么知道我们的身份的,并根据不同的身份基于对应的权限的呢?
-
首先我们要是到HTTP是无状态,无连接的,也就是说HTTP是不能表示用户身份的。
2. 引入HTTP cookie
-
定义
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。 -
工作原理
当用户第一次访问网站时,服务器会在响应的 HTTP 头中设置 Set-Cookie字段,用于发送 Cookie 到用户的浏览器。
○ 浏览器在接收到 Cookie 后,会将其保存在本地(通常是按照域名进行存储)。
○ 在之后的请求中,浏览器会自动在 HTTP 请求头中携带 Cookie 字段,将之前保存的 Cookie 信息发送给服务器。
- 分类
○ 会话 Cookie(Session Cookie):在浏览器关闭时失效。
○ 持久 Cookie(Persistent Cookie):带有明确的过期日期或持续时间,可以跨多个浏览器会话存在。
○ 如果 cookie 是一个持久性的 cookie,那么它其实就是浏览器相关的,特定目录下的一个文件。但直接查看这些文件可能会看到乱码或无法读取的内容,因为 cookie 文件通常以二进制或 sqlite 格式存储。一般我们查看,直接在浏览器对应的选项中直接查看即可。
3. 认识cookie
- HTTP 存在一个报头选项:Set-Cookie, 可以用来进行给浏览器设置 Cookie值。
- 在 HTTP 响应头中添加,客户端(如浏览器)获取并自行设置并保存Cookie。
基本格式
C++
Set-Cookie: < name>=< value>
其中 < name> 是 Cookie 的名称,< value> 是 Cookie 的值。
完整的 Set-Cookie 示例
C++
Set-Cookie: username=peter; expires=Thu, 18 Dec 2024 12:00:00 UTC; path=/; domain=.example.com; secure; HttpOnly
时间格式必须遵守 RFC 1123 标准,具体格式样例:Tue, 01 Jan 2030 12:34:56GMT 或者 UTC(推荐)。
关于时间解释
○ Tue: 星期二(星期几的缩写)
○ ,: 逗号分隔符
○ 01: 日期(两位数表示)
○ Jan: 一月(月份的缩写)
○ 2030: 年份(四位数)
○ 12:34:56: 时间(小时、分钟、秒)
○ GMT: 格林威治标准时间(时区缩写)
GMT vs UTC — 以下内容,均来自文心一言
- GMT(格林尼治标准时间)
○ 英文全称:Greenwich Mean Time
○ GMT 是指位于英国伦敦郊区的皇家格林尼治天文台的标准时间,因为本初子午线被定义为通过那里的经线。理论上来说,格林尼治标准时间的正午是指当太阳横穿格林尼治子午线时的时间。
○ 但值得注意的是,地球的自转是有些不规则的,且正在缓慢减速。因此,格林尼治时间已经不再被作为标准时间使用。- UTC(协调世界时)
○ 英文全称:Coordinated Universal Time
○ UTC 是最主要的世界时间标准,其以原子时秒长为基础,在时刻上尽量接近于格林尼治标准时间。
○ UTC 被广泛使用在计算机网络、航空航天等领域,因为它提供了非常准确和可靠的时间参考。
○ 总结来说,GMT 和 UTC 都曾是或现在是国际上重要的时间标准,但由于地球自转的不规则性和原子钟的精确性,UTC 已经成为了全球性的标准时间,而 GMT 则更多被用作历史和地理上的参考。- 区别:
• 计算方式:GMT 基于地球的自转和公转,而 UTC 基于原子钟。
• 准确度:由于 UTC 基于原子钟,它比基于地球自转的 GMT 更加精确。在实际使用中,GMT 和 UTC 之间的差别通常很小,大多数情况下可以互换使用。但在需要高精度时间计量的场合,如科学研究、网络通信等,UTC 是更为准确的选择。
关于其他可选属性的解释
○ expires=< date>[要验证]:设置 Cookie 的过期日期/时间。如果未指定此属性,则 Cookie 默认为会话 Cookie,即当浏览器关闭时过期。
○ path=< some_path>[要验证]:限制 Cookie 发送到服务器的哪些路径。默认为设置它的路径。
○ domain=< domain_name>[了解即可]:指定哪些主机可以接受该 Cookie。默认为设置它的主机。
○ secure[了解即可]:仅当使用 HTTPS 协议时才发送 Cookie。这有助于防止Cookie 在不安全的 HTTP 连接中被截获。
○ HttpOnly[了解即可]:标记 Cookie 为 HttpOnly,意味着该 Cookie 不能被客户端脚本(如 JavaScript)访问。这有助于防止跨站脚本攻击(XSS)。
以下是对 Set-Cookie 头部字段的简洁介绍
属性 | 值 | 描述 |
---|---|---|
username | peter | 这是 Cookie 的名称和值,标识用户名为"peter"。 |
expires | Thu, 18 Dec 2024 12:00:00 UTC | 指定 Cookie 的过期时间。在这个例子中,Cookie 将在 2024 年 12 月 18日 12:00:00 UTC 后过期。 |
path | / | 定义 Cookie 的作用范围。这里设置为根路径/,意味着 Cookie对.example.com 域名下的所有路径都可用。 |
domain | .example.com | 指定哪些域名可以接收这个Cookie。点前缀(.)表示包括所有子域名。 |
secure | - | 指示 Cookie 只能通过 HTTPS 协议发送,不能通过 HTTP 协议发送,增加安全性。 |
HttpOnly | - | 阻止客户端脚本(如 JavaScript)访问此 Cookie,有助于防止跨站脚本攻击(XSS)。 |
注意事项
○ 每个 Cookie 属性都以分号(;)和空格( )分隔。
○ 名称和值之间使用等号(=)分隔。
○ 如果 Cookie 的名称或值包含特殊字符(如空格、分号、逗号等),则需要进行 URL 编码。Cookie 的生命周期
Cookie 的生命周期
○ 如果设置了 expires 属性,则 Cookie 将在指定的日期/时间后过期。
○ 如果没有设置 expires 属性,则 Cookie 默认为会话 Cookie,即当浏览器关闭时过期。
安全性考虑[了解即可]
○ 使用 secure 标志可以确保 Cookie 仅在 HTTPS 连接上发送,从而提高安全性。
○ 使用 HttpOnly 标志可以防止客户端脚本(如 JavaScript)访问 Cookie,从而防止 XSS 攻击。
○ 通过合理设置 Set-Cookie 的格式和属性,可以确保 Cookie 的安全性、有效性和可访问性,从而满足 Web 应用程序的需求。
3.1. 实验测试 cookie
- 这里要测试的就是第一次登陆时,服务器会给我们返回一个Set-Cookie的报文字段,并且我们可以在我们的浏览器中看到这个cookie文件。
打开测试代码
response->AddHeader("Set-Cookie: ", ProveCookieWrite()); //测试cookie被写入与自动提交
关闭测试代码
// response->AddHeader("Set-Cookie: ", ProveCookieWrite()); //测试cookie被写入与自动提交
- 因为这个时候已经在浏览器中缓存了cookie文件了,这样每一次的发出请求都会携带cookie文件的内容给服务器,这样每次请求服务器都会有对应的应答。
- 测试写入过期时间
std::string GetMonthName(int month)
{
std::vector<std::string> months = {"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec"};
return months[month];
}
std::string GetWeekDayName(int day)
{
std::vector<std::string> weekdays = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"};
return weekdays[day];
}
std::string ExpireTimeUseRfc1123(int t) // 秒级别的未来UTC时间
{
time_t timeout = time(nullptr) + t;
struct tm *tm = gmtime(&timeout); // 这里不能用localtime,因为localtime是默认带了时区的. gmtime获取的就是UTC统一时间
char timebuffer[1024];
// 时间格式如: expires=Thu, 18 Dec 2024 12:00:00 UTC
snprintf(timebuffer, sizeof(timebuffer), "%s, %02d %s %d %02d:%02d:%02d UTC",
GetWeekDayName(tm->tm_wday).c_str(),
tm->tm_mday,
GetMonthName(tm->tm_mon).c_str(),
tm->tm_year + 1900,
tm->tm_hour,
tm->tm_min,
tm->tm_sec);
return timebuffer;
}
- 测试路径path
只有指定的路径才才会使得浏览器自动提交cookie
打开代码
response->AddHeader("Set-Cookie: ",ProvePath()); // 测试路径
并且测试其他路径
- 添加多个cookie文件
如果要添加多个cookie文件的话,是要学要再上一个添加cookie的代码
std::string ProvePath()
{
return "username=zhangsan; path=/a/b;";
}
std::string ProveOtherCookie()
{
return "passwd=1234567890; path=/a/b;";
}
- 单独使用 Cookie,有什么问题?
• 我们写入的是测试数据,如果写入的是用户的私密数据呢?比如,用户名密码,浏览痕迹等。
• 本质问题在于这些用户私密数据在浏览器(用户端)保存,非常容易被人盗取,更重要的是,除了被盗取,还有就是用户私密数据也就泄漏了。
4. 引入 HTTP Session
- 定义
HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。- 工作原理
当用户首次访问网站时,服务器会为用户创建一个唯一的 Session ID,并通过Cookie 将其发送到客户端。客户端在之后的请求中会携带这个 Session ID,服务器通过 Session ID 来识别用户,从而获取用户的会话信息。服务器通常会将 Session 信息存储在内存、数据库或缓存中。比特就业课
14 / 26- 安全性:
与 Cookie 相似,由于 Session ID 是在客户端和服务器之间传递的,因此也存在被窃取的风险。但是一般虽然 Cookie 被盗取了,但是用户只泄漏了一个 Session ID,私密信息暂时没有被泄露的风险Session ID 便于服务端进行客户端有效性的管理,比如异地登录。可以通过 HTTPS 和设置合适的 Cookie 属性(如 HttpOnly 和 Secure)来增强安全性。- 超时和失效:
Session 可以设置超时时间,当超过这个时间后,Session 会自动失效。服务器也可以主动使 Session 失效,例如当用户登出时。- 用途:
用户认证和会话管理
存储用户的临时数据(如购物车内容)
实现分布式系统的会话共享(通过将会话数据存储在共享数据库或缓存中)
4.1 实验测试 session
- 与cookie不同的时,session会比cookie更加安全,cookie是将用户的信息缓存到客户端上即浏览器上,而session则是不同,session是将客户的信息保留在服务器上,个浏览器返回的是一个sessionid,浏览器缓存的便不是客户的私密信息了,而是唯一标识客户的sessionid。当客户第一次进行登陆的时候,服务器就会向客户生成一个唯一标识客户的sessionid,等到下次客户再登陆的时候,只需要携带上这个sessionid就可以再服务器上标识唯一客户,这样服务器就可以将客户的信息进行响应了。
- 所以这里要对session进行管理,而管理的换我们之前也学了六字真言(先描述在组织)
Session.hpp
#pragma once
#include <iostream>
#include <string>
#include <memory>
#include <ctime>
#include <unistd.h>
#include <unordered_map>
// 用来进行测试说明
// 先描述
class Session
{
public:
Session(const std::string &username, const std::string &status)
:_username(username), _status(status)
{
_create_time = time(nullptr); // 获取时间戳就行了,后面实际需要,就转化就转换一下
}
~Session()
{}
public:
std::string _username;
std::string _status;
uint64_t _create_time;
// uint64_t _time_out; // 60*5
// std::string vip; // vip
// int active; //
// std::string pos;
//当然还可以再加任何其他信息,看你的需求
};
using session_ptr = std::shared_ptr<Session>;
// 再组织
class SessionManager
{
public:
SessionManager()
{
srand(time(nullptr) ^ getpid());
}
std::string AddSession(session_ptr s)
{
uint32_t randomid = rand() + time(nullptr); // 随机数+时间戳,实际有形成sessionid的库,比如boost uuid库,或者其他第三方库等
std::string sessionid = std::to_string(randomid);
_sessions.insert(std::make_pair(sessionid, s));
return sessionid;
}
session_ptr GetSession(const std::string sessionid)
{
if(_sessions.find(sessionid) == _sessions.end()) return nullptr;
return _sessions[sessionid];
}
~SessionManager()
{}
private:
std::unordered_map<std::string, session_ptr> _sessions;
};
std::string HandlerHttpServer(std::string req)
{
std::cout << "------------------------" << std::endl;
//std::cout << req << std::endl;
auto request = Factory::BuildHttpRequest();
auto response = Factory::BuildHttpResponse();
request->Derialize(req);
static int number = 0;
if (request->Url() == "/login") // 用/login path向指定浏览器写入sessionid,并在服务器维护对应的session对象
{
std::string sessionid = request->SessionId();
if (sessionid.empty()) // 说明历史没有登陆过
{
std::string user = "user-" + std::to_string(number++);
session_ptr s = std::make_shared<Session>(user, "logined");
std::string ssid = _session_manager->AddSession(s);
LOG(DEBUG, "%s 被添加了, sessionid是: %s\n", user.c_str(), ssid.c_str());
response->AddHeander("Set-Cookie", ProveSession(ssid));
}
}
else
{
// 当浏览器在本站点任何路径中活跃,都会自动提交sessionid, 我们就能知道谁活跃了.
std::string sessionid = request->SessionId();
if (!sessionid.empty())
{
session_ptr s = _session_manager->GetSession(sessionid);
// 这个地方有坑,一定要判断服务器端session对象是否存在,因为可能测试的时候
// 浏览器还有历史sessionid,但是服务器重启之后,session对象没有了.
if (s != nullptr)
LOG(DEBUG, "%s 正在活跃.\n", s->_username.c_str());
else
LOG(DEBUG, "cookie : %s 已经过期, 需要清理\n", sessionid.c_str());
}
}
response->AddStatusLine(200, "Ok");
response->AddHeander("Content-Type: ", "text/html");
response->AddText("<html><body><h1>hello world<h1><body><html>");
return response->Serialize();
}
- 第一从申请的时候
- 第二次申请时候
不难发现他们的sessionid是没有变过的。
5. 总结
HTTP Cookie 和 Session 都是用于在 Web 应用中跟踪用户状态的机制。Cookie 是存储在客户端的,而 Session 是存储在服务器端的。它们各有优缺点,通常在实际应用中会结合使用,以达到最佳的用户体验和安全性。
6. 附录
- favicon.ico 是一个网站图标,通常显示在浏览器的标签页上、地址栏旁边或收藏夹中。这个图标的文件名 favicon 是 “favorite icon” 的缩写,而 .ico 是图标的文件格式。
- 浏览器在发起请求的时候,也会为了获取图标而专门构建 http 请求,我们不管它。