本文详细介绍了网络通信中的关键概念,包括Cookie和Session的使用与区别,Token的原理及应用,GET和POST请求的区别,TCP与UDP的特性比较,TCP的可靠性和拥塞控制机制,以及HTTP的三次握手和四次挥手过程。此外,还探讨了网络7层模型、浏览器加载URL的过程和Nginx的工作原理。
一、.cookie和session:
1.Cookie
cookie是服务器传给客户端并保存在客户端的一段信息,cookie是有大小限制的。进行状态保持,比如在浏览淘宝时,如果登陆完淘宝进行刷新,登陆信息就会丢失。
cookie有两个版本,分别对应两种设置响应头:set-cookie和set-cookie2,
但servlet并不支持set-cookie2。
cookie的属性:key-value,expire过期时间,domain,生成cookie域名,path这个cookie是在那个路径下生成,secure加密设置,设置之后,只会在ssh连接时才会回传该cookie。
cookie有两种:会话级别cookie:就是在浏览器关闭后就会失效。
持久级别cookie:保存在硬盘的cookie,只要设置了过期时间就是硬盘级别的cookie。
cookie的交互流程:(判断用户是否已经登陆)
1.浏览器会发送请求登陆的报文。
2.服务器收到登陆名和登陆密码后,在判断无误后,会生成cookie,在生成cookie后,会和响应报文一起返回给浏览器。(在响应中生成cookie)
3.浏览器接收到cookie后,会将cookie保存在浏览器本地。
4.浏览器再次请求时,会把这个cookie里面的内容带上,发送给服务器。(获取cookie,在请求中获取,当我们请求一个url时,浏览器会根据这个url路径将符合条件的cookie放在请求头上中传给服务器。)
5.服务器根据cookie,将其数据取出来进行判断用户是否已经登陆。
cookie应该注意的问题;
1.当在服务器创建多个cookie时,这些cookie是在一个header项中。
2.cookie基于域名安全,不同域名的cookie是不能互相访问的。(在访问淘宝时写了cookie,在同一浏览器下访问百度,就无法访问到淘宝的cookie.)
3.cookie应用一个是身份识别,一个就是广告追踪。当我们访问网页视频或者图片时,广告商就会给我门cookie标记,方便做关联分析和行为分析,从而推荐一些内容。
2.Seesion:
session是基于cookie工作的,当浏览器第一次访问服务器的时候,服务器会创建一个seesion对象并分配唯一的jsessionid,通过cookie带给浏览器保存在客户端,同时服务器根据业务逻辑将相应的客户端信息保存在session中,客户端再次访问的时候上传cookie,服务器得到cookie里面的sessionid,在内存中搜索是否有对应编号的session对象,有,维持状态,没有创建新的session对象。
sessionid可以通过4种方式
url, cookie,ssl,隐藏表单。
当浏览器不支持cookie时,浏览器可以对url重写,也就是把用户的jsessionid重写到用户请求的url参数中。
如果既支持cookie,又url重写,会解析cookie覆盖url。
Session销毁:Session的生命周期是从创建到超时过期。当session创建后,浏览器关闭,会话级别的cookie就会销毁,而如果没有超过设定时间,session是没有被销毁的。
session失效:可以调用request.getsession.
3.session和cookie区别:
(1)session是运行在服务器端,cookie是运行在客户端。
(2)session会保存在服务器端一段时间才消失,session过多就会增加服务器端压力。
session无大小限制,和服务器内存有关,
cookie是有大小限制的,在浏览器的个数也是有限制的。
(3)session比cookie更安全,如果session没有cookie安全,完全没必要session,cookie运行在客户端,可以减轻服务器的压力。因为sessionid是存在在cookie中,要破session,先破cookie,攻破cookie后,要得到sessionid,sessionid是要有人登录或者启动session_start才会有,所以即使劫持了cookie,也不一定有sessionid在里面。而且seesionid是加密的,而对于cookie,可以对保存在本地的cookie进行攻击。比如有人攻击机器,把cookie拷贝走,放在他的浏览器目录下,那么他登陆网站就是用我的身份,所以cookie是可以伪造的。
session不同步:可以用nigix的ip_hash来解决,如果用户已经访问了后端器,当再次访问的时候会把这个请求的ip地址进行哈希算法转换,自动定位到服务器。
二、token
1.什么是token
客户端频繁向服务端请求数据,服务端频繁去数据库查询用户名和密码进行对比。
token是服务端生成的一串字符串,作为客户端请求的一个令牌,当第一次登录后,服务器生成一个token并将其返回给客户端,以后客户端只需要带上这个token就可以。
减轻服务器的压力,减少频繁查询服务器。
2.token的两种使用
1.用设备mac地址作为token。
客户端在登录时获取到mac地址,并将其参数传递给服务器。
服务端接收到参数后,将其作为token保存在数据库中,并将token设置到session中,客户端每次请求都要进行统一拦截,并将客户端传递的token和服务端session中的token进行对比,相同放行,不同拒绝。
2.用seesion值作为token
客户端只需要携带用户名和密码登录,获取到后判断如果正确就将本地获取sessionIDz作为token返回到客户端,客户端只需要携带数据就可以。
会出现网络不好多次提交的问题。
将session和token套用,session是在一个单个操作人操作整个过程,在同一操作人多次操作的情况下,session始终保证是一个对象,可以对其加锁,当多个人进入,session限制。
在session中加入token,就可以验证同一个人是否操作了多次重复请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,不一致则认为是重复提交,不给予通过。
三、get和post
1.get和post的区别
get和post本质上都是tcp连接,并无差别,但是由于http的规定和浏览器的限制,导致在应用过程中体现出一些不同。
- post把数据放在http包的包体中,get把数据放在url上,?用来分割参数,多个参数之间用&来进行分割。如果通过get,用户名和密码出现在url上,如果登陆页面呗浏览器缓存。别人查看历史记录就可以将获取密码,所以post较安全一些。
- get提交的数据最大是2k,因为get把数据放在url上,所以get可提交的数据与url的长度有关,而post理论上是没有限制的,起限制作用的是服务器的处理程序的能力。
- get可以产生一个
最低0.47元/天 解锁文章
387
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
