Cookie和Session 你真的懂吗?

最新推荐文章于 2022-06-01 20:58:01 发布
最新推荐文章于 2022-06-01 20:58:01 发布
阅读量433 收藏 1
点赞数 1
分类专栏: 前后端交互 文章标签: cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wucan111/article/details/107618675
版权

Cookie 和 Session 基本概念

什么是无状态

无状态是指Web浏览器与Web服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求,然后Web服务器返回响应(Response),连接就被关闭了,在服务器端不保留连接的有关信息。也就是说,HTTP请求只能由客户端发起,而服务器不能主动向客户端发送数据。

Cookie

Cookie 是一些数据, 存储于你电脑上的文本文件中 —菜鸟教程

一种http会话机制,为了解决HTTP协议本身是无状态的( “如何记录客户端的用户信息”😃, 因此,在第一次向服务器发送请求没有cookie(假设是没有任何操作记录), 服务器通过在响应报文的Set-Cookie设置对应的cookie值,以便客户端下次发送请求带上cookie,服务器通过识别cookie实现继续会话(交互)

Cookie 是存储在客户端

这一点很容易理解,在浏览器里,cookie相当于缓存一样,在前台可以document.cookie查看cookie,在开发者工具的application可以看到浏览器当前域名下的cookie完备的信息

Cookie 后端可操作 Set-Cookie

  1. Cookie既然是会话机制,那么和服务器交流肯定要传给后端,所以每次再向后端接口请求的请求报文是会带上Cookie告诉后端信息,以便维持会话状态。
  2. Cookie在访问服务器时,服务器可能会在响应消息中增加Set-Cookie字段,将信息以|Cookie形式发送给浏览器,一旦浏览器接受到服务器发送的Cookie消息,那么会将其保存到浏览器的缓冲区,以便下次会话交换信息。
  3. 看一张图 (该图来源于黑马教程的一本书,应该是php的,但是已经忘记了)
    在这里插入图片描述

Cookie的几种登入方式

  1. 把登录信息如账号、密码等保存在Cookie中,并控制Cookie的有效期,下次访问时再验证Cookie中的登录信息即可。这是一种比较危险的选择,一般不把密码等重要信息保存到Cookie中
  2. 一种方案是把密码加密后保存到Cookie中,下次访问时解密并与数据库比较(可能伪造cookie登入),还可以把登录的时间戳保存到Cookie与数据库中,到时只验证用户名与登录时间戳就可以了。
  3. 只在登录时查询一次数据库,以后访问验证登录信息时不再查询数据库。自定义密钥Key,
    把账号和Key按照一定的规则加密后,连同账号一块保存到Cookie中。下次访问时只需要判断账号的加密规则是否正确即可(通过传来的user类字段和Key再次加密比对Cookie)。(可能伪造cookie登入)

Session

Session利用上了Cookie

  1. Session是一种服务器端技术,它的生命周期从用户访问页面开始,直到与网站的连接结束。
    当服务端调用Session服务(在一些书上说启动Session,而事实上只有当代码级别的调用Session才会启用Session),web服务器在运行期间为访问该服务器的浏览器创建一个独享的Session文件。在创建Session文件时,每个Session都具有一个唯一的会话ID,用于标识不同的ID(一般是一段长串),且会话ID分别存储在服务端和客户端(Set-Cookie写回Cookie 这一系列从调用session时自动完成,也许就是因此称为服务器端技术把)。

  2. 看下图以PHP为例(该图来源网络)在这里插入图片描述

  3. 当浏览器第二次访问服务器时,Session服务自动根据SessionID(请求时会自动的带上Cookie这是关键)识别用户,读取对应的session文件,此时程序操作的session时独立的(每个浏览器访问,服务器开辟一个独立的进程/线程/异步处理)
    ,用户代码层次获取的session就是当前读取的session文件,至此会话连接成功。因此,其实对于客户端来说,session是透明的(透明的就是看不见的意思,也不需要前端的同学关注set-cookie写回和携带cookie去请求,都是自动完成,当然一部分是交互的机制实现)。

  4. 看个NodeJs(这是基于koa的EggJs框架)的例子就知道了:

// 存储设置session
const {ctx} = this    //session自动绑定到ctx上,所以获取
ctx.session.user = sqlUser.username; //session 保存username 到session ,
/*
  注意,只有写到这个代码层次,才开启了session服务流程 (当然如果你要用session要进行一些配置),服务器已经生成sessionId,保存记录username,最后写入
文件(一般是一个客户端对应一个session文件,以便提高访问速度)
*/

//当客户端再次访问服务器资源时
const username = ctx.session.user //注意,客户端访问是,是带有Cookie的,服务器自动处理识别"EGG_KEY"(这是这个框架存储客户端cookie的sessionId的键)并访问对应的sission文件,至此
//ctx.session已经存在数据供开发成员使用

你可以注意到,session依赖于cookie的识别,设置,携带。一旦客户端禁止Cookie,那这种方式将失效

  1. 如果客户端禁止Cookie,那服务器应该把SessionId手动返回给客户端,客户端请求时,再请求体或者参数携带SessionId,服务器再验证SessionId以读取对应的文件,获取当前客户端的对应session数据。

nodejs的session(各种版本的中间件)普遍没有暴露获取sessionid的方法,其它后端语言怎么样我不是特别清楚,如果懂求nodejs怎么获取大佬为萌新解答,谢谢哦。

snakeZix
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session实质就是cookie
09-19
结合实例,并且对我们常用的request.getSession();等语句进行了实质性的内部解剖,看完这个文档百分百让你懂sessioncookie的联系。个人觉得我上传的资源都对的起各位访友下载需要的积分。
SpringBoot Session管理工具类
多凡的博客
01-14 2745
import com.zyd.blog.business.consts.SessionConst; import com.zyd.blog.business.entity.User; import com.zyd.blog.framework.holder.RequestHolder; import java.util.UUID; public class SessionUtil { ...
身份认证机制 (Session、JWT)
Spongebobna的博客
06-01 2339
身份认证机制在我们了解两种主流的认证机制之前,我们先来了解一下目前主流的两种Web开发模式。:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。客户端只负责解析 HTML 。:后端只负责提供 API 接口(处理、存储数据),前端使用 Ajax 调用接口(显示数据)。前端和后端开发人员通过 进行数据的交换。比如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则这时我们就需要使用;而类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用的开发模式。:
session 的工作原理?
ConstXiong
06-24 7982
session 的工作原理? 1、什么是 session session 是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息。 由于 http 协议是无状态的,即 http 请求一次连接一次,数据传...
JavaWeb 之分布式Session共享
const_
09-18 504
Spring Boot 一个依赖搞定 session 共享,没有比这更简单的方案了! https://blog.csdn.net/vbirdbest/article/details/89204972 https://www.cnblogs.com/wf1647790534/p/9802538.html
Servlet 之CookieSession
const_
09-19 220
文章目录会话技术概念HttpServletRequest对象和ServletContext会话跟踪CookieSessionCookie概念Cookie操作和APISession概念Session操作和APISession的生命周期Session的有效期Session对浏览器的要求URL重写 会话技术 在了解cookiesession之前,需要先了解一个概念:会话 概念 在日常生活中,从拨通电...
做web开发,怎么能不懂cookiesession和token呢?
热门推荐
no problem的博客
06-30 5万+
如果把人体比作一个web系统的话,cookiesession和token就好像人体的经络和血管一样,而web系统中的数据,就好像人体的血液一样。血液依靠着血管在人体内流动,就如数据根据cookiesession机制在web系统中流动一样。而web系统开发者就好比一个医术精湛的医生,医生需要十分清楚人体的经络和血液流向才能对症下药,而web系统开发者需要十分清楚cookiesession机制,才能迅速解决疑难BUG,开发出更好的web系统。 引入: ...
sessioncookie
04-03
这是一个讲述sessioncookie的例子,看完后你就理解两者的区别了, 很好懂的
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
12-20
本文实例讲述了PHP 实现超简单的SESSIONCOOKIE登录验证功能。分享给大家供大家参考,具体如下: 第一步,制作一个提交信息的表单页面 这里我不过多叙述,都能懂的 把他命名为login.php <!DOCTYPE html> <...
JavaWeb总结 – 走向框架
01-20
刚刚接触JavaWeb,相信都搞不懂为什么一个一个零件(Servlet、Jsp、Listener等等)可以拼装在一起形成一个网页? 为什么各种组件需要注册到web.xml中? web.xml中上面一堆的地址是什么? 为什么一个标签就注册了一...
Nginx+Tomcat负载均衡
01-13
首先大家注意: 本文章中没有session共享,关于session共享我会在下一篇中讲解,先实现Nginx+tomcat负载均衡再实现session共享。 从网上查了好多资料,多走了很多弯路,现在把自己成功的方法拿出来与大家分享。 ...
详解cookiesession、token关于前后端的那些事(强烈推荐)
Army-海军的博客
06-17 1万+
http协议是无状态协议,请求之间是没有联系的,cookiesession、token可以帮助服务器区分到底是谁在访问
Cookie/Session机制详解
weixin_39891030的博客
09-17 2348
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 一、session的本质            虽然...
axios理解和使用
wucan111的博客
01-03 1890
axios 如果你还是对Promise比较生疏,那你对axios的深入了解一定会存在一些壁垒,更是难以对Axios进行上层封装,因此推荐先阅读了解Promise,再上手axios 资料: axios 中文说明 axios 官网 axios 是一个基于 Promise 的 HTTP 库,可以用在浏览器和 node.js 中。在Web端本质上就是Ajax + Promise,服务端是htttp + Promise 一、理解Axios为什么兴起 完美的结合Promise 的使用,在fetch兼容性不
IM系统数据库设计 & 前端逻辑处理
wucan111的博客
08-04 1432
IM系统数据库设计 & 前端逻辑处理 数据库表 一下默认大家都有的字段就没写了,locked,create_time,update_time就没写了 user 表 id 等,没什么好说的 friend_group 表 好友分组列表: id,user_id(是谁的好友列表),group_name(组名),group_type(分组类型,是否为默认分组) 默认分组无法删除,用户新建一个分组,就添加一条记录,主要区分就是user_id和group_name friend 表 好友表,记录好友关系。
Ajax跨域和Nginx反向代理
wucan111的博客
01-03 917
Ajax跨域和Nginx反向代理 跨域是浏览器对其请求的过滤,保证安全 一、一种流行的跨域方式 CORS CORS是后端配置,在前端请求时,后端的响应请求写入一些运行跨域字段来告诉浏览器不要拦截响应运行跨域 优点: 允许任何源访问服务,不产生跨域,但是也不安全 缺点: CORS不允许前端携带Cookie,即使前端形式上运行携带,后端无法获取,也无法setCookie回写cookie 当然对于不能携带cookie不是没有解决办法 => 前端要做: 设置请求运行携带凭证 withCreden
Token and JWT
wucan111的博客
08-02 831
主要参考文章 @秋天不落叶 傻傻分不清之 CookieSession、Token、JWT 阮一峰日志 JWT Token(令牌) 什么是token => 访问资源接口(API)时所需要的资源凭证 最为突出的两个特点就是: 服务端无状态化、可扩展性好 支持移动端设备 支持跨程序调用 (1) token的验证流程 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 token,(这个token可以存储在数据库要进行验证) 并把这个 token 发.
RESTful接口设计风格
wucan111的博客
08-04 391
> 几句比较简练的话概括 — 来自知乎 URL定位资源,用HTTP动词(GET,POST,DELETE,PUT,PATCH)描述操作 看Url就知道要什么 看http method就知道干什么 看http status code就知道结果如何 就是用URL定位资源,用HTTP描述操作。 先说为什么需要 前后端分离之后,就出现各种各样的事情,其中最为麻烦的就是接口的冲突,对接一直是 前后端分离的 难点之处 对接由于没有统一规范,在人们慢慢的摸索中先有了经验 先电脑的3层协议是否连通(能否ping通
cookiesession的区别是什么?
最新发布
03-29
CookieSession都是用于在Web应用程序中跟踪用户信息的技术。 Cookie是一种存储在客户端的小型数据文件,由服务器发送给客户端,存储在客户端浏览器中。Cookie可以存储用户偏好、登录信息、购物车内容等数据。每次客户端浏览器发送请求时,都会将相应的Cookie信息发送到服务器端,因此服务器可以根据Cookie来识别用户。 Session是一种在服务器端存储用户信息的机制。当用户登录后,服务器会创建一个会话,并为该会话分配一个唯一的Session ID。Session ID会存储在Cookie中,或者通过URL传递给客户端,客户端每次请求时都会带上该Session ID。服务器使用Session ID来识别用户,并将用户信息存储在服务器内存或硬盘中。Session可以存储更加敏感的用户信息,如密码等。 因此,Cookie存储在客户端,Session存储在服务器端;Cookie存储的数据量较小,Session存储的数据量较大;Cookie可以设置过期时间,存储在客户端的时间较长,而Session通常在用户关闭浏览器时就会失效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值