【HTTP】Cookie和Session

 Pala   2018-10-11 14:05   21 人阅读  0 条评论

这个问题不管是社招还是校招,都会被高频率的问到。其实是一个很开放的问题,大家按照自己的理解聊就可以。他们两个更多的是联系,而不是区别。

问题引入?

用户来到淘宝网,输入用户名和密码之后点击“登录”后浏览器将认证信息POST给远端的服务器,服务器执行验证逻辑,如果验证通过,则浏览器会跳转到登录成功,在登录成功后,服务器如何验证我们对其他受限制页面的访问呢?因为HTTP协议是无状态的,所以很显然服务器不可能知道我们已经在上一次的HTTP请求中通过了验证。这时候有两种选择:

  • 每次请求的时候都带上用户名和密码

  • 服务端记住你是合法用户.

第一种方法可是可以,但是一旦这样子客户端受不了,每次都要我输入.服务端同样也受不了,服务端需要去数据库查询用户的合法性。所以就有了第二种方式。

会话管理

111.png

会话管理


步骤 1: 客户端把用户 ID 和密码等登录信息放入报文的实体部分,
通常是以 POST 方法把请求发送给服务器。 而这时, 会使用 HTTPS
通信来进行 HTML表单画面的显示和用户输入数据的发送。

步骤 2: 服务器会发放用以识别用户的 Session ID。 通过验证从客户
端发送过来的登录信息进行身份认证, 然后把用户的认证状态与
Session ID 绑定后记录在服务器端。

步骤 3: 客户端接收到从服务器端发来的 Session ID 后, 会将其作为
Cookie 保存在本地。 下次向服务器发送请求时, 浏览器会自动发送
Cookie, 所以 Session ID 也随之发送到服务器。 服务器端可通过验证
接收到的 Session ID 识别用户和其认证状态。

不要混淆 session 和 session 实现。本来 session 是一个抽象概念,开发者为了实现中断和继续等操作,将 user agent 和 server 之间一对一的交互,抽象为“会话”,进而衍生出“会话状态”,也就是 session 的概念。 而 cookie 是一个实际存在的东西,http 协议中定义在 header 中的字段。可以认为是 session 的一种后端无状态实现。而我们今天常说的 “session”,是为了绕开 cookie 的各种限制,通常借助 cookie 本身和后端存储实现的,一种更高级的会话状态实现。所以 cookie 和 session,你可以认为是同一层次的概念,也可以认为是不同层次的概念。具体到实现,session 因为 session id 的存在,通常要借助 cookie 实现,但这并非必要,只能说是通用性较好的一种实现方案。

总结下:
Session(ID)是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中; Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session(会话)的一种方式。

实例

所以如果你去外面连接了不安全的网络,session就被劫持了,就可以模拟你的用户来干各种坏坏的事情咯。


本文地址:http://chenxm.cc/post/729.html
温馨提示:文章内容系作者个人观点,不代表陈新明对观点赞同或支持。
版权声明:本文为转载文章,来源于 Pala ,版权归原作者所有,欢迎分享本文,转载请保留出处!

发表评论


表情

还没有留言,还不快点抢沙发?