文章目录
一、为什么需要Session
在最基本状态下,Server是一个无情的HTTP请求报文处理和应答机器,就像一个无情的函数一样。Server是不认识client的,每次收到HTTP报文,都不会在意是哪个client发来的消息。
Server响应完之后就会立刻关闭连接。
第二次就算是同一个Client再和Server打招呼,Server也认不出来是谁,也不记得之前发生了什么。
一个常见的场景是需要用户登录的服务,这时候Server是需要记录这个用户的信息,并且辨别每次client发来的消息到底是属于哪个用户的。
这时候就需要一个可以存储client-用户信息的功能,也就是Server端的Session管理,Client端的Cookie管理。
二、信息管理
核心要义就是:当client第二次请求的时候,server能认出来第一次请求是提供了啥信息给server,第二次请求的时候server可以复用第一次请求的信息。
2.1 Server端不存储信息,直接将信息返回给Client(危险!)
Client1:Hi,Server! 我是Client1!
Server:知道了,你是Client1,下次来的时候请自报家门,告诉我你的相关信息。我将为你处理。
Client1:Hi,Server!我是Client1!我要买一张票balabala…
Server: 好的!为您办理,Client1购买一张票balabala…
注意!这种情况下Server是不去确认client有没有说谎的,基本上就是,client说啥信啥,无法排除Client伪造自己的身份的可能。
2.1.1 Server端返回HTML页面的
- 页面中的跳转链接
<a>标签等(信息直接写在URL中) - 页面中的
form表单(使用hidden隐藏信息)
2.1.2 Server端返回JSON的
- Client请求的时候再带上所需的数据
2.1.2 Server/Client将信息写入Cookie
本质上就是一个高级的自动化的Client带上复用数据进行请求的管理工具。和上面几种方式没有本质的区别。
!!!区别在于,浏览器会自动管理Cookie,每次Client进行请求时都会在HTTP headers中自动带上存在Cookie中的信息。
鉴于每次请求浏览器都会自动带上Cookie中的数据,所以只要Server或Client有一个记得事先把数据放到Cookie中就可以了。
2.2 Server端存储信息,返回Client端一个凭据(没那么危险)
安全了一点,这个过程有点类似于:
小明:Client
银行:Server
银行卡:凭据
1、小明去银行登记了身份信息,并且开了一个银行账户。
2、银行当即给了小明一张银行卡,让小明下次凭着银行卡来办理业务。
3、小明第二次来到银行,捏着一张银行卡证明自己的身份,并且要办理业务。
4、银行通过银行卡调取了小明的基本信息,默认只要是捏着这张银行卡的人就是小明,于是熟练地为小明办理了业务。
机智的朋友们会发现这里有个问题,如果不是小明捏着银行卡来办业务,那么银行也会给“小明”办理业务的。对滴,那这样的话就会有CSRF(Cross Site Request Forgery),即跨站请求伪造的问题。网络世界可是危机四伏的喔!
2.2.1 凭据使用Cookie或直接写在URL中
由2.1可知,只要server能把信息给client,就能实现凭据的效果。一般才用Cookie的方式传递凭据,毕竟每次请求都要传,手工不仅累死还容易遗漏!
2.2.2 Session
Session其实就是小明登记在银行的个人信息。类比一下,Session中的信息存储在Server,是Client登记的,使用Cookie的方式传递凭据。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
