了解 Cookie 和 Session:Web 开发中的身份验证机制

已于 2023-05-20 21:09:59 修改
阅读量547 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 服务器 java 网络
于 2023-01-16 12:14:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/128702025
版权

数据来源

部分数据来源:ChatGPT  

Cookie

01 Cookie简介

        HTTP是一个基于请求与响应 · 无状态的 · 应用层的协议。

        无状态:服务器不知道用户上一次做了什么 · 这严重阻碍了交互式Web应用程序的实现

        Cookie:网站为了辨别用户身份 · 存储在用户本地终端上的数据 · Cookie是由服务端生成的 · 发送给客户端(通常是浏览器)的

        Cookie 总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie

        內存 Cookie:由浏览器维护 · 保存在内存中 · 浏览器尖闭后就消失了 · 其存在时间是短暂的

        硬盘Cookie保存在硬盘里 · 有一个过期时间 · 除非用户手工清理或到了过期时间 · 硬盘 Cookie 不会被刪除 · 其存在时间是长期的

02 Cookie的作用

Cookie的根本作用就是在客户端存储用户访问网站的一些信息。

  1. 记住密码·下次自动登录
  2. 购物车功能
  3. 记录用户浏览数据·进行商品(广告)推荐.

缺陷:

  1. Cookie会被附加在每个HTTP请求中,所以无形中增加了流量
  2. 由于在HTTP请求中的Cookie是明文传递的 · 所以安全性成问题·(除非用HTTPS)
  3. Cookie的大小限制在4KB左右 · 对于复杂的存储需求来说是不够用的.

03 Cookie 工作原理

1、创建 cookie

  • 用户浏览网站
  • 网站服务器生成唯一识别码( cookie id)
  • 默认一般是会话级别的 cookie · 存储在浏览器内存中
  • 将cookie放入到http响应报头,将Cookie插入到一个 Set-Cookie HTTP响应报头中

2、设置存储 cookie

        浏览器收到该响应报文之后 · 根据报文头里的Set-Cookied特殊的指示 · 生成相应的 Cookie · 保存在客户端 · 该Cookie里面记录着用户当前的信息 

3、发送Cookie

        用户再次访问该网站时 · 浏览器首先检查所有存储的 Cookies · 如果存在某个该网站的 Cookie,则把该 cookie 附在请求资源的HTTP请求头上发送给服务器。

4、读取 cookie

        服务器接收到用户的HTTP请求报文之后 · 从报文头获取到该用户的Cookie,从里面找到所需要的东西。

Session

01 简介

        Session 代表服务器与浏览器的一次会话过程 · 这个过程是连续的,也可以时断时续的 · Session是一种服务器端的机制 · Session对象用来存储特定用户会话所需的信息

        Session由服务端生成 · 保存在服务器的内存、缓存、硬盘或数据库中。

02 Session作用

Session的根本作用就是在服务端存储用户和服务器会话的一些信息

  1. 判断用户是否登录
  2. 购物车功能

03 Session工作原理

        当用户访问到一个服务器 · 如果服务器启用 Session · 服务器就要为该用户创建一个 SESSION,并生成一个与此 SESSION 相关的 SESSION ID · 这个 SESSION ID是唯一的、不重复的、不容易找到规律的字符串 · 这个 SESSIOND将被在本次响应中返回到客户端保存 · 而保存这个 SESSION ID的正是 COOKIE · 这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器 。

Cookie和 Session的区别

1、存放位置不同

  • Cookie保存在客户端
  • Session保存在服务端

2、存取方式的不同

  • Cookie中只能保管ASCll字符串 · 假如需求存取Uncode宇符或者二进制数据 · 需求先进行编码Session中能够存取任何类型的数据

3、安全性不同

  • Cookie存储在浏览器中 · 对客户端是可见的 · 客户端的一些程序可能会窥探、复制以至修正 Cookie中的内容
  • Session存储在服务器上 · 对客户端是透明的在敏感信息泄露的风险·

更加详细的比较

        在 Web 开发中,Cookie 和 Session 是常用的身份验证机制。它们都是用来跟踪用户会话和处理身份认证的方式,但它们之间存在一些差异。

        Cookie 是一个存储在浏览器端的小型文本文件,用于存储有关用户访问过的网站和与该网站相关的信息,例如登录凭据、购物车数据等。当用户再次访问该网站时,服务器可以通过读取浏览器中的 Cookie 信息来识别用户身份。开发者可以使用 JavaScript 来设置和读取 Cookie 信息,同时可以进行一些简单的加密。但是,由于 Cookie 存储在客户端,可能被窃取和篡改,因此需要谨慎使用,并遵循安全开发最佳实践,例如将敏感数据加密并仅使用HTTPS协议传输。

        Session 是另一种跟踪用户会话的机制。与 Cookie 不同,Session 数据存储在服务器端而非客户端浏览器中,在用户访问网站时创建一个唯一的 session ID,通常保存在 Cookie 中,来标识该用户的身份。服务器在处理用户请求时会检查 session ID 并使用相应的 session 数据对之前存储的用户状态进行恢复。相比 Cookie,Session 更安全可靠,但是要求存储更多服务器端资源。为了防止 Session 的滥用,开发者需要对 Session ID 进行加密,并注意设置适当的过期时间和策略

总之,Cookie 和 Session 都是常用的身份验证机制,选择何种方式应根据具体的需求和安全要求进行权衡。

 

狗蛋的博客之旅
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
简单介绍SessionCookie
Chinajash的专栏
12-10 1547
一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。session文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这间的一系列过程可以称之为一个session。有时候我们可以看到这样的话“在一个浏览器会话期
什么是CookieSessionSession详解
小小默:进无止境
11-17 4584
除了使用CookieWeb应用程序还经常使用Session来记录客户端状态。Session服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。【1】什么是sessionSession是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器,而Session保存在服务器上(内存或硬盘)。客户端浏览器访问服务器的时候,服务器把客户端信息
CookieSession、token —— 用户身份验证技术
mantou_riji的博客
07-08 627
我们在登陆一个网站后,如果退出页面再次进入的时候就是已登陆好的状态,这就是cookie的作用。 Cookie是一种进行网络会话状态跟踪的技术。1. Cookie诞生的原因 会话是由一组请求与响应组成,是围绕着一件相关事情所进行的请求与响应。所以这些请求与响应之间一定是需要有数据传递的,即是需要进行会话状态跟踪的。然而HTTP协议是一种无状态协议(即在不同的请求间是无法进行数据传递的)。在这种情况下就引入Cookie 用来跟踪请求间数据传递的会话。2.Cookie的作用 Cookie是由 服务器 生成,保存在
Cookie要怎么测试?
最新发布
伤心的辣条
11-28 1295
Cookie是一种用于在Web应用程序存储用户特定信息的方法,可以让网站服务器把少量数据存储到客户端的硬盘或内存,或是从客户端的硬盘读取数据。Cookie的测试是指对Cookie的功能、性能、安全性、兼容性等方面进行验证的过程。
CookieSession登陆验证相关介绍和用法
Demon's blog
12-30 864
CookieSession用户登陆应用的原理Cookie的定义查看CookieDjango操作Cookie获取Cookie设置Cookie删除CookieDjangoSession相关用法Session版登陆验证Django的Seesion配置CBV加载装饰器相关1. 加在CBV视图的get或post方法上2. 加在dispatch方法上3. 直接加在视图类上,但method_decorator必须传 name 关键字参数间件CSRF Tokencookie翻译成文意思是曲奇饼、饼干。
Springboot登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
Asp.Net Core基于Session身份验证的实现
10-18
在Asp.Net Core,基于Session身份验证是一种传统的身份验证机制,尽管在Asp.Net Core推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...
PHPcookiesession的区别实例分析
12-18
Session更适合存储敏感信息,如用户身份验证信息。 然而,Cookie也有其优点,比如无须服务器资源即可实现会话跟踪,减轻服务器负载。同时,如果用户禁用了Cookie,那么Session将无法正常工作,这时就需要考虑其他的...
实现session身份认证机制
03-14
在这个主题,我们将深入探讨如何使用Node.js的Express框架以及cookie来实现session身份认证。 首先,让我们理解一下基本概念: 1. **Session**: 一个session服务器存储的关于用户的一段数据,通常包括用户ID等...
hapi-doorkeeper:Web服务器的用户身份验证
05-08
服务器上注册插件以添加/login和/logout路由以及session策略,以便您可以通过身份验证保护应用程序的路由。 const hapi = require ( '@hapi/hapi' ) ; const bell = require ( '@hapi/bell' ) ; const cookie = ...
Cookie,Session验证机制
heeyw的专栏
12-24 5807
cookie可分为两类:会话cookie和持久cookie 会话cookie是一种临时cookie,在用户退出浏览器时,会话cookie就会被删除,也就是所说的sessionid,通过SESSION[′userinfo′]=_SESSION['user_info']=user;这样添加 主要用来判断用户的所有操作是否合法,避免用户每次都需要重新登录验证 新开一个浏览器,整个浏览器的所有窗口都公
JS之cookie验证
XiaoDong的博客
11-16 1018
转载自:http://www.runoob.com/js/js-cookies.html 使用JS的基本功能实现以下功能。 我们将创建 cookie 来存储访问者名称。 首先,访问者访问 web 页面, 他将被要求填写自己的名字。该名字会存储在 cookie 。 访问者下一次访问页面时,他会看到一个欢迎的消息。 在这个实例我们会创建 3 个 JavaScript 函数:    设置
cookie实现简单的用户登录验证
热门推荐
羽公子的博客
12-06 1万+
一共是两个页面,一个路由 登录页面 -html <form> <label for="username">用户名:</label> <input type="text" name="username" id="username"><br/> <
Python爬虫理论之cookie验证,不回顾下历史,套路都不知道怎么来的!
junior5的专栏
09-06 731
cookie在发明之初,为了帮助服务器同步网页上的用户信息,同时保存用户操作,以此减轻服务器压力。 没有cookie之前,人们还停留在像电视一样只能对网页进行点播,网站分辨不出是谁在通信。 题外话:第一代密码,属于通用性的密钥 有了cookie后,你就那个网页做交互了,这时才有了网站账号。 由正在浏览的网站创建的cookie被称为第一方cookie。 这个东西很重要,你要是不信邪,把这种第一方cookie给禁止了, 那么,恭喜你,回到了广播时代。 Python requests库默认是打开了cookie
登录验证cookie三次锁定)
baiyawen1的博客
08-20 3205
思路 1.接受值判断是否为空 2、登录错误大于三次时,判断时间是否过期 3、判断登录的错误次数 4.查询数据判断是否成功,不成功次数+1,大于三次设置cookie给个过期时间(方便上面的调用) 登录的表单页面 <form action="{:url('login/login')}" method="post"> <table border="...
简聊 Session 与 Token 身份验证
lxw1844912514的博客
04-15 911
前言 当我们账号密码登陆以后,如何确保用户认证是我们每一个 phper 都会遇到的问题,从最开始的 Session 到 Token ,让我们带着求知欲了解一下它。 Session 时代 Web 开发使用 Http 协议,HTTP 协议最初是匿名的,无状态的请求 / 响应协议。这样简单的设计可以使 HTTP 协议专注于资源的传输(HTTP 是超文本传输协议); 随着 WEB 的发展,业务需要确定客...
Session、Token身份验证方法
田攀的日志
12-05 4992
  Session :我发给你一张身份证,但只是一张写着身份证号码的纸片。你每次来办事,我去后台查一下你的 id 是不是有效。  Token:我发给你一张加密的身份证,以后你只要出示这张卡片,我就知道你一定是自己人。    token和session其实都是为了身份验证session一般翻译为会话,而token更多的时候是翻译为令牌。 session服务器会保存一份,可能保存到缓存,文...
使用Session验证用户登录
业精于勤,行成于思
08-02 950
使用Session验证用户登录 在ASP.NET,利用Session对象验证用户是否登录的方法很简单,例如在本实例,当用户安全登录时,可以利用如下代码保存用户的登录名,并跳转到NavigatePage.aspx。 if (txtName.Text == "mr" && txtPassword.Text == "mrsoft") { Session["Use
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值