session cookies token

最新推荐文章于 2023-05-12 21:24:13 发布

青葱暖咖啡

最新推荐文章于 2023-05-12 21:24:13 发布

阅读量153

点赞数

分类专栏： session

session 专栏收录该内容

0 篇文章 0 订阅

订阅专栏

参考链接https://blog.csdn.net/qq_32784541/article/details/79655146#commentBox

一.概述
token：令牌，就是加密的串，在服务端返回给客户端，客户端每次request都要带着。
session:服务端存放token使用session;在分布式系统中存在缓存中；
cookie:客户端存放token使用cookie，当然也可以使用form表的隐藏域；

1.客户端发送token的两种方式；
$.ajax({
beforeSend: function(request) {
request.setRequestHeader(“Authorization”, token);
$.ajax({
headers: {
Accept: “application/json; charset=utf-8”,
userToken: “” + userToken

2.服务端使用httprequestsession
//放入session中
request.getSession().setAttribute(“token”,token.toString());
//放入request作用域中传到前台
request.setAttribute(“token”,token);

     //获取session中的token
    Objecttoken1=request.getSession().getAttribute("token");
    //获取前台穿过来的token
    String token=request.getParameter("token");

会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话
二·cookie
Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。
1、会话Cookie和持久Cookie
若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。
若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在浏览器的不同进程间共享。这种称为持久Cookie。

2、Cookie具有不可跨域名性
就是说，浏览器访问百度不会带上谷歌的cookie;
Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录

每个用户访问服务器都会建立一个session，那服务器是怎么标识用户的唯一身份呢？事实上，用户与服务器建立连接的同时，服务器会自动为其分配一个SessionId。

3、两个问题：

1）什么东西可以让你每次请求都把SessionId自动带到服务器呢？显然就是cookie了，如果你想为用户建立一次会话，可以在用户授权成功时给他一个唯一的cookie。当一个
用户提交了表单时，浏览器会将用户的SessionId自动附加在HTTP头信息中，（这是浏览器的自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给SessionId所对应的用户。试想，如果没有 SessionId，当有两个用户同时进行注册时，服务器怎样才能知道到底是哪个用户提交了哪个表单呢。

2）储存需要的信息。服务器通过SessionId作为key，读写到对应的value，这就达到了保持会话信息的目的。

4、session的创建：

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了sessionId，如果已包含则说明以前已经为此客户端创建过session，服务
器就按照sessionId把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含sessionId，则为此客户端创建一个session并且生成一个与此session相关
联的sessionId

5、禁用cookie

如果客户端禁用了cookie，通常有两种方法实现session而不依赖cookie。
1）URL重写，就是把sessionId直接附加在URL路径的后面。
2）表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如：

6、Session共享：

对于多网站(同一父域不同子域)单服务器，我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com)，而SessionId又分别储存在各自的cookie中，因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是，子站间的cookie信息也同时被共享了。

三.应用场景

1登录网站，今输入用户名密码登录了，第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是cookie。
2服务端使用sessionid，以及session存储跟一个客户端进行多次连键通话的值；
3单点登陆，spring oauth
4移除session 防止重复提交
request.getSession().removeAttribute("token");，或者通过session保存前端提交数据的时间，通过对比两次时间间隔来控制提交的频率；