`
情情说
  • 浏览: 38902 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

单点登录与权限管理本质:session和cookie介绍

 
阅读更多

 

本篇开始写「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,这部分主要介绍相关的知识概念、抽象的处理过程、常见的实现框架。通过这部分的介绍,能够对单点登录与权限管理有整体上的了解,对其相关概念、处理流程、常见实现有个基本的认识。

本篇文章介绍下session和cookie,它是登录实现的基础,主要从下面几个方面介绍:

  • session和cookie基本概念
  • session的生命周期
  • cookie的作用域

cookie的跨域问题会在后续文章单独介绍。

基本概念

大部分系统都需要识别用户的身份,有些功能只有特定的用户能使用,有些功能需要根据用户身份显示不同的内容,一般使用唯一编号标识用户的身份。

就像我们的身份证,身份证号是每个人唯一的,根据所在的省市区、出生年月、性别等规则生成,我们去政府机构办事时,都需要带着身份证,他们通过身份证验证我们的身份。

session和cookie主要用来识别登录者身份的,默认通过JSESSIONID唯一编号进行验证。session是在服务端保存的一个数据结构,用来跟踪用户的状态,也可以保存用户相关的一些数据,可以保存在内存、缓存、数据库等存储结构中。cookie是客户端保存用户信息的一种机制。

servlet session

javax.servlet.http包中是session的主要API接口,主要有以下几种接口:

  • HttpSession:实际的session接口定义;
  • Listener:session发生一些动作,如创建,设置属性,失效等,会触发一些事件,进行相应的处理;
  • Event:当动作触发之后,封装为对应的事件;

Session相关接口

session相关的接口,一般由应用服务器来实现,比如Tomcat、Resin、Jetty。Session的主要特征:

  • 可以设置和获取一些属性;
  • 每个session对应一个编号sessionId,是一次会话的唯一表示;
  • session有超时时间,用户长时间无操作,维护的定时器会清除session,保证资源及时释放;
  • 可以通过调用invalidate方法主动清除session;

在tomcat中,HttpSession的实现是StandardSession,同时StandardSession会实现自定义的Session接口,它是对HttpSesion一个包装。
Tomcat Sesion接口

另外,tomcat会实现session的管理和持久化,可随时获取到对应的session,具体实现不在本篇分析,网上有很多文章介绍。

cookie

cookie是客户端的解决方案,是服务器发给客户端的特殊信息,这些信息以文本文件的方式存放在客户端,后续请求,客户端都会带上这些特殊的信息。

服务端通过HTTPResponse设置cookie到响应头,发送到客户端,后续客户端自动将cookie信息设置到请求头。下面是我登录百度后的cookie信息:
百度cookie信息

cookie也有失效时间,可在服务端通过cookie.setMaxAge(expiry)进行设置,expiry=-1:代表浏览器关闭后,cookie就失效了;expiry>0:代表会将cookie保存到硬盘中,直到设置时间过期才会被浏览器自动删除;expiry=0:删除cookie,cookie都会被浏览器给删除。

另外还有其他几个特性:

  • setDomain:设置cookie范围,后面会详细介绍;
  • isHttpOnly:是否只是http协议使用。只能在后端通过getCookies()获取,js不能获取;
  • 每一个cookie文件大小:4kb , 如果超过4kb浏览器不识别;
  • cookie不安全,可能泄露用户信息,浏览器支持禁用cookie操作;
  • 临时session:默认生命周期,当浏览器关闭时cookie销毁的;
交互过程

交互过程图

  1. 使用浏览器访问服务端页面;
  2. 服务端收到该客户端第一次请求后,会创建一个session,生产一个唯一sessionId;
  3. 同时在响应请求中设置cookie,属性名为jessionid;
  4. 客户端收到后会保存jessionid,再次请求时,会在header中设置,服务端可从请求头中获取;
  5. 服务端验证获取的sessionId是否存在,即可验证是否是同一用户;

当浏览器禁用cookie后,基于cookie的session将不能正常工作,每次都将创建一个新的session,可通过url重写传递jsessionid。

session的生命周期

session存储在服务器端,session在用户第一次访问时创建,访问jsp、servlet等程序时才会创建Session,只访问html、image等静态资源并不会创建,可调用request.getSession(true)强制生成Session。

服务器会把长时间没有活动的Session从内存中清除,tomcat中session的默认失效时间为20分钟,可调用调用session的invalidate方法强制清楚。

另外,我们可以自己实现session生命周期的管理,以满足特定的业务需求,比如后续要讲的单点登录、分布式session等,tomcat可提供了相应扩展,后续文章会介绍。

cookie的作用域

创建cookie时,需要设置domain,有多级域名时,可以控制cookie的作用域。如果网站请求量很大,设置的cookie作用域不当,会浪费很多流量。

下面举例说明,比如有三级域名support.kefu.mi.com,其中,mi.com是一级域名,kefu.mi.com是二级域名。

在3类域名下进行cookie设置,分别设置不同的domain,看看访问各级域名时cookie的有效性。当domain设置为空时,domain默认为当前域名。

在一级域名mi.com下设置cookie
domain参数 访问一级 访问二级 访问三级
mi.com
kefu.mi.com × × ×
mcc.kefu.mi.com × × ×

当domain为一级域名时,一级域名、包括其下的子域名都可以接收到cookie。但是domain参数设置其子域名时,所有域名就接收不到了,包括那个子域名。

在二级域名kefu.mi.com下设置cookie
domain参数 访问一级 访问二级 访问三级
×
mi.com
kefu.mi.com ×
mcc.kefu.mi.com × × ×

当domain为自身域名时,其父域名无法接收到cookie,其本身与其子域名可以接收到cookie。而设置其子域名或其他域名时,所有域名都接收不到cookie。

在三级域名mcc.kefu.mi.com下设置cookie
domain参数 访问一级 访问二级 访问三级
× ×
mi.com
kefu.mi.com ×
mcc.kefu.mi.com × ×

可以得出结论:domain参数可以设置父域名以及自身,但不能设置其它域名,包括子域名,否则cookie不起作用。

情情说

 

分享到:
评论

相关推荐

    JAVA 开发jsp-企业人事管理系统

    6. **Session和Cookie管理**:在用户登录和权限控制方面,会用到Session和Cookie来跟踪用户的会话状态。Session存储在服务器端,Cookie则存储在客户端。 7. **安全机制**:企业级系统需要考虑安全性,包括输入验证...

    公司管理系统的jsp代码的实现

    Session在服务器端存储用户信息,而Cookie则在客户端存储,通常用于临时存储用户登录状态。 6. **JSP自定义标签**:为了提高代码可读性和复用性,开发者可能创建了自定义JSP标签,这些标签封装了一些特定的功能,如...

    jsp聊天系统-完整版

    权限管理(如管理员权限)则属于授权范畴,控制用户对系统的操作权限。 6. 实时通信技术: 为了实现即时消息传递,系统可能使用了AJAX(Asynchronous JavaScript and XML)进行异步通信,提高用户体验。此外,...

    332JSP设备管理系统.zip

    7. **安全与权限控制**:为了保护设备管理系统的数据安全,系统可能包含用户认证和授权机制,如使用session和cookie进行用户身份验证,以及角色基础的权限控制,确保只有授权用户能访问特定功能。 8. **异常处理**...

    JSP新闻发布系统

    7. **Session和Cookie管理**:为了保持用户的登录状态,系统可能使用session或cookie来存储用户信息。session用于服务器端存储,而cookie存储在客户端,两者都能实现会话跟踪。 8. **安全性**:新闻发布系统应考虑...

    ASP.NET 本质论 (全)

    Web的无状态特性使得保持用户会话信息成为挑战,ASP.NET提供了多种状态管理方法,如ViewState、Session、Cookie和Query String,以适应不同场景的需求。 7. **AJAX支持** ASP.NET内置了AJAX支持,通过UpdatePanel...

    在线音乐模块

    8. **权限管理**:对于用户登录和权限控制,可以使用session和cookie技术来跟踪用户状态,实现登录验证和权限限制。 9. **缓存机制**:为了提高性能,可能会使用缓存技术,如Redis或Memcached,来存储热门音乐信息...

    最新Python3.5零基础+高级+完整项目(28周全)培训视频学习资料

    字符编码的区别与介绍 用户交互程序 if else流程判断 while 循环 while 循环优化版本 for 循环及作业要求 第2周 本节鸡汤 模块初识 pyc是什么 python数据类型 bytes数据类型 列表的使用 元组与购物车程序练习 ...

    超级有影响力霸气的Java面试题大全文档

     Session Bean 还可以再细分为 Stateful Session Bean 与 Stateless Session Bean ,这两种的 Session Bean都可以将系统逻辑放在 method之中执行,不同的是 Stateful Session Bean 可以记录呼叫者的状态,因此通常...

    教学实施大纲(javaWEB方向)

    - **创建数据库,表空间和用户权限管理**:通过SQL*Plus等工具创建数据库和表空间。 - **创建数据表和添加约束**:SQL语句用于定义数据表结构和完整性约束。 **2. SQL编程及高级查询** - **SQL语言简介**:SQL...

    ASP.NET4高级程序设计第4版 带目录PDF 分卷压缩包 part1

    另外,还专门介绍了ASP.NET4 新增的功能,如MVC 和动态数据等。  《ASP.NET 4高级程序设计(第4版)》适合各层次的ASP.NET程序员阅读。 =================== 第一部分 核心概念 第1章 ASP.NET简介 1.1 ASP.NET的...

    ASP.NET4高级程序设计(第4版) 3/3

    另外,还专门介绍了ASP.NET4 新增的功能,如MVC 和动态数据等。  《ASP.NET 4高级程序设计(第4版)》适合各层次的ASP.NET程序员阅读。 作者简介 作者:(美)麦克唐纳 目录 第一部分 核心概念 第1章 ASP.NET简介 ...

Global site tag (gtag.js) - Google Analytics