`
zpl3001
  • 浏览: 93513 次
  • 性别: Icon_minigender_1
  • 来自: baga
社区版块
存档分类
最新评论

web会话状态维持

阅读更多
http://blog.csdn.net/treeroot/archive/2004/10/09/128885.aspx
什么人该阅读本文?
如果你对以下问题感兴趣但是又不能确切的回答,你就应该阅读此文.
1.Session是什么?
2.Cookie又是什么?
3.如果完全禁用了Cookies,Session还起作用吗?
4.为什么有的网站登录一次以后就不用再登录?
5.ASP中的Session是否依赖Cookie?
6.JSP中的Session是否依赖Cookie?
7.ASP.NET中的Session又是怎么回事?

下面将详细的讲述会话状态的维持,看完之后你应该可以回答上面的几个问题了
1.Session和Cookie的由来
这里我不区分Cookie和Cookies,只是一个复数形式而已.我们都知道http是无状态的协议,就是说每次请求都是分开的,服务器根本不知道两次请求是否是同一个人,如果我们的内容是完全公开的,也就是所有内容谁都可以看(比如sina的新闻),这种情况呀根本就没有必要知道两次请求是不是同一个.但是大部分情况下我们不希望这样,我们希望只有会员登录之后才能访问(所有的论坛几乎都是这样).而其他人不允许他们反问,于是便要知道每次请求的是不是同一个人,这就是会话,也就是一个Session,而且这个Session是以Cookie为基础的,Cookie最才是网景公司提出的,也叫小甜饼.
服务器端对每个请求维持一个会话,并且有一个唯一的SessionID.如果客户端没有禁用Cookie的话,客户第一次请求的时候这个ID会写到客户端的硬盘上(不相信?看一下文件夹C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files 下的Cookie文件,都是文本文件).以后你每次请求的时候都会加上这个ID值,服务器端就可以知道是不是同一个请求了.如果还不相信的话,你可以这样做个试验:
1.选择一个你要用用户名登录的网站(最好是ASP的,如论坛).
2.先正常登录一遍,确定可以登录,再把浏览器关了)
3.选择Internet选项(IE属性页),选择隐藏选项卡,把设置调到最高,确定.
4.重新开IE,登录你刚才登录过的站点,怎么登都等不上去的.

2.Session和Cookie的关系
当前维持会话状态的途径有且只有两种种
第一种:Cookie,最常见的,95%以上的会话都是Cookie的功劳.
第二种:URL重写,把SessionID附加到URL中,JSP实现了但用的不多.
如果你用过session,你可能很奇怪:我们一般都是用session维持会话,这里怎么没有?
答案很简单:上面两种都是途径,Session是我们的目的.一句话概括Session和Cookie的关系:Cookie是维持Session最常见的一种途径.

3.Cookie的过期和Session的超时
你可以自己设置Cookie的过期(其实是服务器替你设置的),如果你设置为用不过期,
以后就都不用再重新登陆了,如果这台机器就你一个人用完全可以这样设置,否则
最好不要这样设置.如果你很长时间没有反应,就是没有新的请求,Session就有可能
过期,你可能遇到这样的情况:明明已经登录了,过了一会儿回来却说我没有登录
提示重新登录.就是因为Session过期了,服务器可以设置过期的时间.

4.禁用了Cookie如何实现会话
如果客户端完全禁用Cookie,将会发生什么现象:
对于ASP,无法跟踪会话,也就是每个请求都当作新的请求.
对于JSP,可以通过重写URL实现会话,session.encodeURL(String path)
session.encodeURL("index.jsp")=index.jsp;jsessionid=431D980051204FC8DC3
                                                            BF75840F7AF71
可以看到后面的sessionid并没有包括在QueryString中(在?后面)
对于ASP.NET 同样支持重写URL,学习JSP的,不过JSP并不是所有的WebServer都支持重写URL
5.QueryString和HiddenForm
你可能觉得他们也可以维持会话,但是事实上是不可以的,他们只能传递参数。不过在ASP.NET中的服务器事件模型广泛了使用了Hidden来表示控件的viewState(这个也是ASP.NET比ASP,JSP先进的地方,是一种全新的技术)
为什么他们只能传递参数而不能实现会话呢?大致过程是这样的:
服务器接收到一个请求,如果没有获得SessionID,就产生一个新的会话.可能你认为这样可以保持会话 url?sessionid=234234234234.
这是一个误区,因为服务器已经处在一个新的会话中了,只不过可以获得上次会话的ID号而已.

6.QueryString和HiddenForm的区别
QueryString是URL中问号后面的?querystring.一般浏览器都把URL限制在255个字符以内所以没办法传递大量的数据,方法必须为get.HiddenForm是表单数据,方法为可以是get或者post(一般用post)

7.误区
我看到有人在论坛上说在自己的Web服务器上构建一个Session,然后链接到别人的程序这样可以越过验证.Session只在同一个Application中才有效,所以这个设想是徒劳的,不过如果你们的程序是同一个Application中的(比如一些个人主页空间就有可能)是可以这样做的.

8.题外话
利用Cookie攻击,因为客户端完全禁用Cookie之后,每次请求服务器都要产生一个会话.如果会话超时时间是15分钟的话,我们通过完全禁用Cookie的方法在15分钟内不停的请求让服务器产生大量的会话,实行DOS攻击(前提是大量的请求和服务器不做过滤)
分享到:
评论

相关推荐

    App远程登录与会话维持的实现.pdf

    在App开发中,使用单例模式的HttpClient可以有效地维护会话状态,避免频繁创建和销毁HttpClient实例带来的性能开销。单例模式确保在整个应用程序中只有一个HttpClient实例,所有网络请求共享同一会话,从而简化会话...

    用户登录,会话跟踪

    在HTTP协议本身是无状态的,因此不能自动维持会话信息,所以我们需要借助额外的技术手段。 1. **Cookie**:Cookie是服务器发送到用户浏览器并存储在本地的一小块数据,它包含了与用户会话相关的信息。当用户再次向...

    Web 层的状态复制1

    在Web开发中,会话状态管理是一个关键的组成部分,特别是对于那些需要跟踪用户行为或保持用户信息的应用程序。Java平台,尤其是J2EE(Java 2 Platform, Enterprise Edition),提供了多种管理会话状态的方法。本文...

    基于Servlet的会话跟踪理解会话跟踪原理

    总之,基于Servlet的会话跟踪是通过HttpSession对象实现的,它使得服务器能够在无状态的HTTP协议之上维持用户的状态信息,从而实现诸如购物车、个性化推荐等需要用户上下文的功能。正确理解和使用会话跟踪技术是构建...

    了解会话管理机制.docx

    会话管理机制是Web应用程序中一个关键的安全要素,它的主要目标是确保用户在与服务器...理解应用程序如何处理会话状态,识别和验证会话令牌,以及确保令牌的完整性和安全性,都是开发和审计安全Web应用程序的关键步骤。

    Eclipse+Jboss EJB技术 会话Bean

    在这个实验中,我们可能会使用无状态会话Bean,因为对于简单的“Hello, World”示例,不需要维持状态。 接下来,客户端(HelloWorldEJBClient)将通过JNDI(Java Naming and Directory Interface)查找并访问这个...

    在ASP.NET中实现会话状态基础

    在Web应用程序的无状态环境中,会话状态的管理是至关重要的。虽然HTTP协议本身是无状态的,但是像ASP.NET这样的服务器端技术提供了机制来维持跨多个请求的状态信息。这种状态管理对于跟踪用户行为、保存个性化设置等...

    邓炜PHP基本语法(五)状态维持上

    状态维持概念 session COOKIE 1、HTTP基础 作用:当WEB请求一个WEB页面时,它会向服务器发送一个HTTP请求消息。这个请求总是包含一些头信息,有时也包含一个消息体。WEB服务器接收请求,处理请求,并发出一个响应,...

    EJB 会话BEAN PPT

    2. **有状态会话Bean**:有状态会话Bean保留了与客户端交互的上下文信息,可以跟踪用户会话状态,适合处理需要维持状态的交互。例如,购物车应用中,用户添加商品到购物车,购物车的状态就需要由有状态会话Bean来...

    \计算机\教程\asp.net和C#\原版教程\状态管理/pdf

    综上所述,ASP.NET通过多层次的状态管理机制解决了Web应用程序中的状态维持问题。从应用程序级别的全局状态到特定用户会话状态,再到页面和请求级别状态,每种状态都有其特定的生命周期和可见范围。理解和合理运用...

    完整版Java JSP web开发教程 03_会话跟踪简介(共22页).ppt

    在Java JSP web开发中,会话跟踪是维持用户在网站上交互过程中的状态的关键技术。当用户浏览多个页面时,服务器需要识别这些请求来自同一个用户,以便提供个性化的服务,如购物车功能或者保持登录状态。会话跟踪允许...

    JavaWeb开发技术-会话技术.pptx

    * 实现用户状态的维持:会话技术可以维持用户的状态,记录用户的交互过程,实现用户的个性化服务。 * 提高用户体验:会话技术可以提高用户的体验,例如,实现购物车的功能,记录用户的购买记录。 * 方便数据分析:...

    正确理解http会话管理

    开发者可以通过方法名(如input, list, uploadInit, upload等)推测这些方法用于处理不同的业务逻辑和会话状态。 总而言之,正确理解HTTP会话管理是开发Web应用时的一项基本技能。它涉及到Session的创建、存储、...

    hiro会话管理共12页.pdf.zip

    反之,保持会话状态可以提供更好的用户体验,但可能导致资源消耗增加。 8. **HTTPS**:对于涉及敏感信息的会话,应使用HTTPS协议,以加密数据传输,防止中间人攻击。 9. **单点登录(Single Sign-On, SSO)**:在...

    PHP会话跟踪

    **会话控制**是指在网络应用中,通过特定机制来跟踪用户与服务器之间的交互过程,从而维持用户的状态信息。由于HTTP协议本身是无状态的,即每次请求之间没有任何关联,这就导致了服务器无法识别两次请求是否来自同一...

    QQ临时会话

    开发者需要考虑心跳包、超时重连和断线重连策略,以保证即使在网络不稳定的情况下也能维持会话。 9. **错误处理与日志记录**:为了排查问题和优化服务,开发者需要对可能出现的错误进行捕获和处理,并记录详细的...

    tomcat-redis-会话共享

    在Web应用中,用户会话是维持用户状态的关键。当一个Web应用部署在多台服务器上时,用户请求可能被分配到不同的服务器,如果没有会话共享,每台服务器将无法识别同一用户的会话,导致用户体验下降。因此,会话共享...

    Session详解

    Session,中文常译为“会话”,在Web开发领域中扮演着至关重要的角色,尤其是在维护客户端与服务器之间的交互状态方面。Session的概念源远流长,但其核心在于“保持状态”,即确保在一系列操作或消息传递过程中,...

    会话及其会话技术.doc

    Java Web 开发中,会话(Session)与Cookie是两种重要的技术,用于在客户端与服务器之间维护状态。本文将深入探讨这两个概念以及它们在实际应用中的使用。 首先,Cookie是服务器发送到用户浏览器并存储的一小块数据...

    用SOAP标题验证的WEB service

    在Web服务中,会话状态通常用于维持跨多个请求的上下文,但同时也增加了服务器的资源消耗。 SOAP(Simple Object Access Protocol)是Web服务的标准通信协议,它使用XML格式封装数据,并通过HTTP协议传输。SOAP标题...

Global site tag (gtag.js) - Google Analytics