Cookie与会话--Session与SSO的实现细节研究

zpball

浏览: 914766 次
性别:
来自: 北京

最近访客更多访客>>

lng87108

feilafei123

qq_731139982

u012363178

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

J2EE
web技术

0.背景
        最近项目中在做一个平台性质的东西，为其他业务系统提供某种服务，方式是向业务系统提供iframe的弹窗。嵌入式的平台页面需要对访问权限进行验证，而业务系统和平台共用一套CAS，最后经过研究得出结论是，平台的嵌入式页面无需任何额外的代码就直接能够通过外层业务系统的登录状态通过嵌入式的平台页面的权限验证。这里面的主要机制就在于Cookie，之前我在自己写的一个Web服务器中实现Session时，对Cookie有了更深层次的认识，因此，在这里对Cookie做一次详细而全面的总结。都是自己的看法，不见得完全正确，呵呵。

1.Cookie综述
        众所周知，HTTP协议是无状态的，想在无状态的协议中实现访问会话是不够的，服务器端无法区分请求是否来自同一个浏览器，因此需要而外的数据用于区分请求来源，当然IP地址也是不够的，一个用户可能开启多了浏览器或浏览器进程。小甜饼Cookie 由此而生，她诞生于网景公司，篇幅有限就不赘述了。Cookie在Web会话中起到了最关键性的作用，其实大家所熟知的Session、SSO等，或者大胆一点的假设，所有仅通过浏览器、HTTP协议（不包括安装插件等特殊情况）实现的会话，底层都应该是依靠Cookie来实现的（呵呵有待考证，假设的有点大胆，欢迎板砖）。

        Cookie是由浏览器在访问时在HTTP报文中携带的一段文本串，这段文本串一般都是最初由服务器端的响应报文中向浏览器提供的，浏览器在接收到Cookie后存储于浏览器进程内或是存储于浏览器本地文件系统中，这视Cookie的有效期而定。每段Cookie都是和一个域domain相对应的，当浏览器发出一个新的请求时，浏览器会将当前有效的、匹配当前请求的Cookie（Cookie的domain和请求的domain一致）附加到HTTP请求报文中，这样在服务器端就可以获取到最初传递给浏览器的Cookie，Cookie就相当于一个令牌，在客户端浏览器和服务器之间来回传递，就是这样实现了无状态的HTTP协议的会话。即，服务器一次发送Cookie给浏览器，浏览器每次请求附带该Cookie。可以说，实现在无状态的HTTP协议中的会话，主要的工作都是由浏览器实现的，将服务器端的Cookie进行存储，在发请求时加入Cookie到HTTP报文中。下面将对Cookie的一些细节进行阐述。

        在开始研究Cookie前，不得不介绍几个工具，查看Cookie的，其实是查看HTTP报文的工具，Web开发时的利器，让你对Web页面的请求响应内容了如指掌，前端后台都需要。

首先是FireFox，强大的HTTPWatch7不支持FF6，唉..这个HTTPFOX勉强用吧，比HTTPWatch差远了

FireBug很强大，但是感觉查看HTTP报文的功能有点坑爹，自己决定吧，反正我是不用。

IE下的HTTPWatch7，大爱，不解释。当初在学校自己写Web服务器时，多亏有它。

有效期Expires

很关键的参数，决定了Cookie的有效期限，设置当前时间以前的或者为0，表示浏览器进程。浏览器进程的Cookie是浏览器关掉就失效的，而设置了有效期为未来某时间的，会在本地文件系统中存储文件的，这也是Cookie收到诟病的原因之一，这里不再赘述。用来实现会话的一般都是浏览器进程的，而像购物车、几个月不用再登陆等都是将Cookie存储于本地文件系统。如下图是百度首页的Cookie过期时间夸张吧，目的就是不过期啦，要存在你的硬盘上，除非你手动删除或者设置浏览器禁止Cookie。

如下图所示即为本地存储的Cookie，以IE和FireFox为例，存储路径是C:\Documents and Settings\username\Cookies，浏览器为每个网站建立一个独立的txt文件。

再看看Session的，这个是我之前在学校开发的一个项目，域名嘛，你懂的。这是J2EE的项目注意Cookie的名字，JSESSIONID，这个在Session部分再讲吧，可见Expires为（Session），其实这并不是Cookie中的值，只不过插件为了醒目这么现实的。表示当你关闭浏览器时，这个Cookie销毁。

PHP的Session是用PHPSESSID这个Cookie名的

Domain
    对于存储于浏览器端的Cookie，在浏览器发起请求时是有选择性的发送的，并不是将浏览器端的所有Cookie在每次请求都附加到请求报文中，这样不但减少了传输量，同时更重要的原因也是出于安全性的考虑，不属于某个网站或某些页面的Cookie，服务器端是无权访问的。在浏览器发起某次请求时，究竟哪些Cookie会被附加到请求报文中，是依靠domain和path共同来决定的。

    domain或称为域，具体含义可以去搜域名，Cookie中的domain是按照尾部匹配的原则进行的，例如，domain为.baidu.com和.abc.baidu.com的Cookie，在访问http://abc.baidu.com/时都会被传递。而访问http://www.google.com/则不会被传递。

    在设置Cookie的domain时，你可以随意设置，例如http://abc.baidu.com/的网站你可以设置domain为.google.com的Cookie，该Cookie就会发送给http://www.google.com/的服务器，但是http://abc.baidu.com/的服务器就甭想再拿到它了，因为浏览器会认为它不属于你，尽管是你设置的它。

Path
    path与domain类似，也是决定Cookie的归属的，但是它比domain更加细粒度，domain是决定哪些网站可以访问，而path是决定这个网站的哪些路径可以访问。而path默认是当前设置Cookie的页面的路径，例如http://abc.baidu.com/test/a.php设置了Cookie，那么若不显式设置path，其path就是/test。path拥有继承性，对于path的子路径，都拥有了对该Cookie的访问权，例如http://abc.baidu.com/test/b.php以及http://abc.baidu.com/test/hello/c.php都拥有对path为/test的访问权。

2.Cookie与Session
3.Cookie与SSO
4.伪造Cookie登录

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>无标题文档</title>
<script type="text/javascript">
document.domain="baidu.com";
var cookieindex = 0;

function getCookie(c_name)
{
if (document.cookie.length>0)
  {
  c_start=document.cookie.indexOf(c_name + "=")
  if (c_start!=-1)
    { 
    c_start=c_start + c_name.length+1 
    c_end=document.cookie.indexOf(";",c_start)
    if (c_end==-1) c_end=document.cookie.length
    return unescape(document.cookie.substring(c_start,c_end))
    } 
  }
return ""
}
function setCookie(c_name,value,expiredays)
{
var exdate=new Date();
exdate.setDate(exdate.getDate()+expiredays);
document.cookie=c_name+ "=" +escape(value)+((expiredays==null) ? "" : ";expires="+exdate.toGMTString()) +";path=/;domain=baidu.com";
}


function addCookie(){
	cookieindex++;
	var cookieDIV = document.getElementById("cookies");
	cookieDIV.innerHTML += "cookie名<input type=\"text\" id=\"cookiename"+cookieindex+"\">cookie值<input type=\"text\" id=\"cookievalue"+cookieindex+"\"><br>";
}
function redirect(){
var ddd = "";
for(i=0;i<=cookieindex;i++){
var cookiename = document.getElementById("cookiename"+i).value;
var cookievalue = document.getElementById("cookievalue"+i).value;
ddd += cookiename+":"+cookievalue+";";
setCookie(cookiename,cookievalue,10);

window.location.href= document.getElementById("redirectURL").value;
}
}
</script>
</head>

<body>
  <p>请先在C:\WINDOWS\system32\drivers\etc\hosts文件中添加伪装域名</p>
  <p>例如：127.0.0.1 www0.baidu.com </p>
  <p>伪装cookie后跳转页面：
    <input type="text" id="redirectURL">
   </p>
  <div id="cookies">
  cookie名<input type="text" id="cookiename0">cookie值<input type="text" id="cookievalue0"><br>
  </div>

  <p>   
    <input type="button" name="Submit2" value="添加cookie" onClick="addCookie()">
    <input type="button" name="Submit" value="伪装跳转" onClick="redirect()">
          </p>
</body>
</html>

http://blog.csdn.net/aspdao/article/details/6738972