转载自:http://hi.baidu.com/jmtbai/blog/item/a3b7d5f3b76cd818b17ec51a.html
首先我们来看个例子,笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠,然而一次性消费5杯咖啡的机会微乎其微,这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案:
1、该店的店员很厉害,能记住每位顾客的消费数量,只要顾客一走进咖啡店,店员就知道该怎么对待了。这种做法就是协议本身支持状态。
2、发给顾客一张卡片,上面记录着消费的数量,一般还有个有效期限。每次消费时,如果顾客出示这张卡片,则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。
3、发给顾客一张会员卡,除了卡号之外什么信息也不纪录,每次消费时,如果顾客出示该卡片,则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。
由 于HTTP协议是无状态的,而出于种种考虑也不希望使之成为有状态的,因此,后面两种方案就成为现实的选择。具体来说cookie机制采用的是在客户端保 持状态的方案,而session机制采用的是在服务器端保持状态的方案。同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所 以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上它还有其他选择。
(二)理解cookie机制
cookie机制的基本原理就如上面的例子一样简单,但是还有几个问题需要解决:“会员卡”如何分发;“会员卡”的内容;以及客户如何使用“会员卡”。
正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。
而cookie 的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的 资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。意思是麦当劳的会员卡只能在麦当劳的店里出示,如果某家分店还发行了自 己的会员卡,那么进这家店的时候除了要出示麦当劳的会员卡,还要出示这家店的会员卡。
cookie的内容主要包括:名字,值,过期时间,路径和域。
其中域可以指定某一个域比如.google.com,相当于总店招牌,比如宝洁公司,也可以指定一个域下的具体某台机器比如www.google.com或者froog......可以用飘柔来做比。
路径就是跟在域名后面的URL路径,比如/或者/foo等等,可以用某飘柔专柜做比。
路径与域合在一起就构成了cookie的作用范围。
如 果不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。这种生命期为浏览器会话期的 cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。如果设置了过期时间,浏览器 就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。
存储在硬盘上的 cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式。对于IE,在一个打开 的窗口上按Ctrl-N(或者从文件菜单)打开的窗口可以与原窗口共享,而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存cookie;对于 Mozilla Firefox0.8,所有的进程和标签页都可以共享同样的cookie。一般来说是用javascript的window.open打开的窗口会与原窗 口共享内存cookie。浏览器对于会话cookie的这种只认cookie不认人的处理方式经常给采用session机制的web应用程序开发者造成很 大的困扰。
下面就是一个goolge设置cookie的响应头的例子
HTTP/1.1 302 Found
Location: http://www.google.com/intl/zh-CN/
Set-Cookie: PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Content-Type: text/html
这是使用HTTPLook这个HTTP Sniffer软件来俘获的HTTP通讯纪录的一部分
浏览器在再次访问goolge的资源时自动向外发送cookie
使用Firefox可以很容易的观察现有的cookie的值
使用HTTPLook配合Firefox可以很容易的理解cookie的工作原理。
IE也可以设置在接受cookie前询问
这是一个询问接受cookie的对话框。
(三)理解session机制
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。
当 程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。
保存这 个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID,而。比如weblogic对于web应用程序生成的cookie,JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,它的名字就是 JSESSIONID。
由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为http://...../xxx; jsessionid=ByOK ... 99zWpBng!-145788764
另一种是作为查询字符串附加在URL后面,表现形式为http://...../xxx?jsessionid=ByOK ... 99zWpBng!-145788764
这两种方式对于用户来说是没有区别的,只是服务器在解析的时候处理的方式不同,采用第一种方式也有利于把session id的信息和正常程序参数区分开来。
为了在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。
另一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如下面的表单
<form name="testform" action="/xxx">
<input type="text">
</form>
在被传递给客户端之前将被改写成
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
这种技术现在已较少应用,笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。
实际上这种技术可以简单的用对action应用URL重写来代替。
在 谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家提 出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序通知服务器删除一个session,否则服务器会一直保留,程序 一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所 以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的 HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。
恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。
分享到:
相关推荐
总的来说,HTTP协议、Cookies、Session机制和浏览器缓存是构建动态Web应用的基础,理解并掌握它们的工作原理和交互方式,是成为一名优秀的Web开发者的必要条件。在实践中,开发者需要根据具体需求灵活运用这些工具,...
Session在ASP.NET中是一种非常重要的机制,用于在用户的不同请求之间存储和检索数据。它允许开发者在用户会话期间跟踪用户的状态,而无需在客户端使用cookies或其他技术。以下是对ASP.NET Session的七个关键认识: ...
ASP.NET中的Session是用于在无状态HTTP协议下保持用户会话状态的一种机制。...为了解决这个问题,...因此,合理使用Session,结合其他状态管理策略如ViewState、Cookie或数据库存储,可以更好地平衡性能和功能需求。
- 在适当的情况下,考虑使用其他机制,如Cookie或数据库存储会话标识符,而不是默认的文件存储机制。 总体而言,PHP的Session反序列化漏洞需要开发者提高安全意识,严格控制Session的存储和处理机制,并在代码中...
本文在PHP中利用MD5()函数对Session值以及SessionID值进行Hash处理,确切地说,是在SessionID值的储存机制上添加了MD5算法,作了一些浅析,相信在Session安全防范方面会起到一定的作用。 MD5算法与Session Hash ...
文档中提供了一个名为Session.php的代码示例,展示了使用不同方式存储和操作Session数据的多个Action,包括使用文件存储Session和使用Redis存储Session的示例。这帮助开发者理解不同存储方式对Session处理的影响,...
在ASP.NET中,维持会话状态(状态管理)的方式有多种,包括Cookie和Session。Cookie是存储在客户端的小型文本文件,可以用来跟踪用户的会话信息。Session则是服务器端的一种存储机制,用于在多个HTTP请求之间保存...
Cookie主要由四个关键属性构成:Path、Domain、Secure和Expires。本文将详细解释这些属性的作用和使用方法。 首先,Path属性决定了哪些网页可以访问这个Cookie。当你在创建Cookie时设定Path,你实际上是在定义一个...
总结,Django的Session机制提供了一种安全的方式来在用户的多次请求间存储和管理数据。通过合理使用Session,开发者可以实现诸如用户登录状态维持、购物车功能等常见的Web应用需求。在实际开发中,需要注意Session的...
在C#中实现单点登录(Single Sign-On, SSO)是一种提高用户体验和管理多系统登录状态的有效方式。...理解SSO的工作原理,结合C#的Session和Cookie,可以帮助开发者构建高效且安全的单点登录系统,提升用户体验。
- ASP.NET提供了多种方式来在请求之间保持状态,包括视图状态、隐藏字段、Cookie、Session和Application状态等。理解何时使用哪种状态管理方式是优化应用程序性能的关键。 4. **配置与部署** - web.config文件是...
HttpClient提供了一种更为高效的方式处理会话(Session)和Cookie。HttpPost和HttpGet类分别封装了POST和GET请求,通过HttpClient的`execute()`方法发送请求,并通过HttpResponse获取响应数据,包括响应头和实体内容...
### JSP安全编程实例浅析 #### 一、引言 在现代Web开发中,JavaServer Pages (JSP)作为一种动态网页技术被广泛应用于构建复杂的企业级应用。然而,随着互联网的发展,各种针对Web应用程序的安全威胁也日益增多。...
攻击者可以通过输入数据(如表单变量、文件上传和Cookie)来操控全局变量,从而影响程序的正常运行。开发者应避免过度依赖全局变量,尽可能减少它们的使用,同时确保对所有用户输入进行充分验证和清理。 **文件上传...
- 在浏览器-服务器结构中,除了session、cookie和application,还可以通过`QueryString`、`Server.Transfer`、`HiddenField`等方式传递变量。 15. **索引器**: - C#中的索引器允许类像数组一样通过索引访问元素...
尽管苹果的SDK中自带了NSURLConnection,它可以处理简单的HTTP请求,但在处理复杂场景,如受权限保护的页面,涉及到Session和Cookie管理时,使用NSURLConnection会变得相当复杂。AFNetworking为此提供了便利,它不仅...
Cookie和Session的区别 HTTP协议 HTTP请求: Post /test.php HTTP/1.1 //请求行以一个方法符号开头,以空格分开,后面跟着请求的URI和协议的版本 Host: www.test.com //请求头 User-agent:mozilla/5.0(windows ...
cookie sessionstorage localstorage ,那么这三种数据的存储又有什么关系呢?让我们一起来看看吧 cookie:保存cookie值: var dataCookie='110'; [removed] = 'token' + "=" +dataCookie; 获取指定名称的cookie值 ...