通过登录保留状态研究一下http的响应头及session

最新推荐文章于 2022-07-30 23:56:24 发布
最新推荐文章于 2022-07-30 23:56:24 发布
阅读量240 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/acefeng/p/9050689.html
版权

  之前自己实现的项目博客中有一个关于登录的小问题存在,如果我想要直接登录之后会有一个本地的cookie用来记录登陆的状态,这样如果我刷新浏览器,也不会导致该登录状态的消失。

以上就是使用express-session实现随机产生的签名。

代码如下:

function demo(){
    var chars = ['0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z'];
    var result = '';
    for(var i = 0; i < 100 ; i ++) {
        var id = Math.ceil(Math.random()*35);
        result += chars[id];
    }
    return result;
}
var session=require('express-session');
app.use(session({
    secret:demo(),               //设置 session 签名
    name:'my_blog',
    // cookie:{maxAge:60*1000*60*24}, // 储存的时间 24小时
    resave:false,             // 每次请求都重新设置session
    saveUninitialized:true
}));

   之后在登录时加上一个req.session 用来存储此时登录的一个账号名。因为每一个会话的session是单独的。所以,我们只需要在每一次敏感请求之前都验证一下是否此时req.session是存在的,如果存在就说明此时其实是按照正常登录流程登录的,而不是将登录后记录登录状态的cookie复制到一个新的会话就能直接达到登录状态的效果。

  代码如下:

router.beforeEach((to, from, next) => {
  if (to.matched.some(res => res.meta.requireAuth)) {// 判断是否需要登录权限
    if (sessionStorage.getItem('user_name')) {// 判断是否登录
      Axios.post('api/main/getUser_name').then((response)=>{
        if(response.data){
          next();
        }else{
          sessionStorage.removeItem('user_name');
          next({
            path: '/',
          })
          alert('登录异常,请重新登录');
          window.location.reload(); 
        }
      }).catch((err)=>{
        console.log(err);
      })
    } else {// 没登录则跳转到登录界面
      next({
        path: '/',
      })
      alert('请先登录~');
    }
  } else {
    next()
  }
})

    由于我使用的是vue-router,它自身带有路由的守卫,我可以直接在管理员的每一个操作之前都进行一次getUser_name请求,该请求就是判断此时此会话的session中是否含有已经登录后的记录。如果含有该种记录就是正常操作,否则就是非法登录,报错登陆异常后,刷新网页,并且清空session中用户自己设置的cookie。

********************************************************************************************************

  其实在应用中发现了很多有意思的东西。每一个的sessionid确实都是含有的,但是我通过express-session设置的和实际的sessionid其实是不太一样的。

比如:

7NdyOA4-KHvF4o4Q43oMrQeYJcHk_SSA  //req.sessionID
undefined               //req.headers.cookie
Session {               //req.session
  cookie:
   { path: '/',
     _expires: null,
     originalMaxAge: null,
     httpOnly: true } }

  以上是我第一次进入该网页输出的部分,可以看到第一次进入网页的时候实际上并没有设置到req.headers.cookie,我的理解是第一次实际上是产生了sessionid 但是并没有设置到客户端的cookie上。也就是说只有在第一次请求之后才会有相应的cookie产生。

  这样我们再刷新网页的时候会对应产生一个cookie这回才是真正使用对应的。如果我们将本地的cookie删除了,也就是说服务端没有办法认清你这个请求的来源。那么就会重新再一次发送一个新的sessionid。所以登录状态也就会相应的消失。这样问题就又返回到前面的问题了。只需要在敏感操作的时候检测一下就ok啦。

  最后吐槽一下自己的智商......这次对http的响应头真的是熟悉了。。。看了一大堆攻击模式最后发现最简单的办法就在身边。我居然还想到了要不要用redis数据库来存一下这个数据。想想真的是很无语啊。

注!!!!以上均是使用vue-router + node的express-session 等实现的功能。当然还有一部分的vuex、sessionstorage等。  

转载于:https://www.cnblogs.com/acefeng/p/9050689.html

weixin_33743880
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现提高SESSION响应速度的几种方法详解
10-16
还可以通过调整PHP的SESSION配置来优化,如`session.cookie_lifetime`(控制SESSION cookie的生命周期)、`session.gc_maxlifetime`(决定SESSION数据在服务器上保留的最大时间)等,根据实际需求进行合理设置,...
记一次response的set-cookie的sessionId与cookie存储的sessionId不一致导致登录不起的问题
bingfengzhihuo521的博客
07-14 2791
最近在修改老项目时,出现一个玄学的问题,困扰了很久,在ie,Firefox中都正常可以登录,但是在chrome中使用登录不起,在后台filter中断点定位发现,cookie进来的session获取不到存储的用户信息,导致登录失效,不断要求登录; 查阅各种 set-cookie与cookie值不一致问题,按文章解决依旧不能解决问题; 最后决定静下心来在getSession()方法处断点,跟踪每次请求的sessionID值和浏览器中的cookie比对,最终发现是页面上引用的一个图标(favicon.ico)引起
F01_HttpRunner关联:关于 SessionID 问题
捉虫客 de 博客
04-24 294
F01_HttpRunner关联:关于 SessionID 问题 HTTP 是一个无状态的协议,每次请求之后不会留下任何痕迹。就像是有一个失忆的家伙,从来记不住是谁到过他家里,客人必须每来一次都重新告诉他姓名。如果碰到这么一个傻服务器,这就麻烦了,每访问一个页面都要重新输入一次用户名和密码,这肯定要让人崩溃的。 于是为了避免这种问题的发生,就需要一个机制来记忆每个用户的身份,即...
nodejs 处理get post cookie session tooken
weixin_43606967的博客
07-13 232
nodejs 搭建服务器 处理get post 请求 cookie session tooken
http请求响应报文及session&cookie&token详解
NZXHJ的博客
07-30 4747
http请求响应报文及session&cookie详解
response.encodeURL的用法
weixin_34216036的博客
10-29 231
Java Servlet API 中引用 Session 机制来追踪客户的状态。Servlet API 中定义了 javax.servlet.http.HttpSession 接口,Servlet 容器必须实现这个接口。当一个 Session 开始时,Servlet 容器将创建一个 HttpSession 对象,Servlet 容器为 HttpSession 分配一个唯一标...
java后台请求http并保持Session
12-21
在Java编程中,后台请求HTTP并保持Session是一个常见的任务,特别是在需要访问受保护的Web资源时,例如登录后的网页数据。下面将详细讲解这个过程,包括GET和POST方法的使用,以及Session管理。 首先,我们需要了解...
微信小程序 如何保持登录状态
10-16
如果登录成功,后台服务器会返回一个包含session信息的响应头(Set-Cookie),此时将这个session信息保存到本地存储中。 2. 当需要发起网络请求时,如获取用户列表或其它数据,需要将之前保存在本地存储中的session...
Sip响应状态码对照详解.docx
05-24
### SIP响应状态码详解 ...通过以上介绍,我们可以看出 SIP 响应状态码覆盖了从临时应答到各种类型的错误响应,为 SIP 通信提供了丰富的反馈机制。理解这些状态码对于调试 SIP 通信问题至关重要。
JSP 中Session的详解及原理分析
10-19
每个Cookie都有一个名称和值,服务器可以通过设置HTTP响应头来创建Cookie。与Session不同,Cookie的大小有限制,且安全性较低,因为数据存储在客户端,容易被篡改。另外,Cookie可以设置过期时间,而Session通常在...
http请求头、响应头内容含义、cookie与session区别
NeilNiu
08-25 5942
cookie基于服务端生成的,在客户端的头信息中,在第一次把请求发到服务端,服务端生成cookie,存放到客户端,下次再请求的时候会带上cookie,redis存session,有缓存时间,过了一段时间就会过期。客户端访问的时候,会带上身份标识,这个标识存在cookie中,当web浏览器禁用cookie的时候,session也失效了,...
response、session、cookie
Hello World
05-05 273
response、session、cookieresponsesession(服务端)session (会话) response response :响应对象 提供的方法: void addCookie( Cookie cookie ); 服务端向客户端增加cookie对象 void sendRedirect(String location ) throws IOException; :页面跳转的...
HTTPHTTPS详解:Cookie、Session及安全通信
其中,特别强调了HTTP的无状态特性和无连接原则,以及为解决这些问题引入的Cookie和Session机制。此外,文件还涵盖了HTTP请求报文和响应报文的结构,GET和POST方法的区别,HTTPS的非对称加密、数字证书和SSL连接过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值