COOKIE机制和SESSION机制的区别
cookie和session的作用及其区别
session机制是一种服务器端的机制,服务器使用一种类似
于散列表的结构(也可能就是使用散列表)来保存信息。
但程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否包含了一个session标识-称为session id,如果已经包含一个session id则说明以前已经为此客户创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个,这种情况可能出现在服务端已经删除了该用户对应的session对象,但用户人为地在请求的URL后面附加上一个JSESSION的参数)。
调用logOut,将客户从Web服务器中注销,同时废弃所有与该用户相关联的会话(每个Web应用至多一个)。这个操作有可能影响到服务器上多个不同的Web应用。
二十三、使用isNew来判断用户是否为新旧用户的错误做法
public boolean isNew()方法如果会话尚未和客户程序(浏览器)发生任何联系,则这个方法返回true,这一般是因为会话是新建的,不是由输入的客户请求所引起的。
为存储下来的链接含有错误的标识信息-该URL后面的SESSION ID已经过期了。
十七、使用隐藏的表单域有什么缺点
仅当每个页面都是有表单提交而动态生成时,才能使用这种方法。单击常规的超文本链接并不产生表单提交,因此隐藏的表单域不能支持通常的会话跟踪,只能用于一系列特定的操作中,比如在线商店的结账过程
六、cookie的读取
1.调用request.getCookie
要获取有浏览器发送来的cookie,需要调用HttpServletRequest的getCookies方法,这个调用返回Cookie对象的数组,对应由HTTP请求中Cookie报头输入的值。
常见的4种认证机制
常见的4种认证机制 本⽂主要讲的是常⽤的登陆认证机制。
随⼿的笔记,可以快速了解这⼏种认证⽅式的原理。
1、HTTP Basic Auth HTTP Basic Auth ,简单的来说就是每次请求API的时候,都提供⽤户的username和password。
⽤这种⽅式可以不⽤登陆,随时请求后台任何⼀个⽅法。
但如何知道⽤户是否拥有权限的?可以在每次请求任何⼀个⽅法时候,都携带⽤户名和密码,然后后台每次都对⽤户名和密码进⾏校验,并且对⾓⾊进⾏校验,之后再选择是否放⾏。
这就意味着每次都要做校验。
缺点:容易泄密。
只适⽤于内部使⽤。
2、Cookie Auth(也叫Session认证) 登陆请求,当服务端校验通过之后,服务端会创建⼀个独⽴的Session来保存⽤户信息,以作为登陆成功的标记。
每⼀个⽤户创建⼀个Session对象。
服务端存储完session数据之后,那浏览器是如何知道该⽤户登陆过? ⾸先服务端会将Session对象的id放⼊Cookie的对象⾥,Cookie对象是键值对 key=value,对应的键是名字,值是id,然后通过响应头写回给浏览器,浏览器会将响应头信息⾃动存放到浏览器的缓存⾥。
⽤户登陆成功后,若想访问服务器端的其他需要权限的页⾯时,该请求必须要携带浏览器之前存储的session id ,也是通过请求头的⽅式,session id到服务端后会搜索是否有该session id 所对应的对象,有就能拿到,说明⽤户还处于登陆状态。
spring-security的流程其实也是⼀套对上述流程的封装,再到后来的整合CAS,依然还是此⽅式。
在分布式系统中,整合CAS的原因:session认证的缺陷:利⽤服务器的内存资源来存储session,⽽⼀台服务器的内存是不可以共享的,所以如果要多台服务器之间共享session,所以就有了CAS整合。
其实这就是session共享的⽅案。
3、OAuth OAuth(开放授权)是⼀个开放的授权标准,允许⽤户让第三⽅应⽤访问该⽤户在某⼀个web服务器上的私密资源,⽽⽆需将⽤户名和密码提供给第三⽅应⽤。
Cookie机制
首先我们来看个例子,笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠,然而一次性消费5杯咖啡的机会微乎其微,这时就需要某种方式来纪录某位顾客的消费数量。
想象一下其实也无外乎下面的几种方案:1、该店的店员很厉害,能记住每位顾客的消费数量,只要顾客一走进咖啡店,店员就知道该怎么对待了。
这种做法就是协议本身支持状态。
2、发给顾客一张卡片,上面记录着消费的数量,一般还有个有效期限。
每次消费时,如果顾客出示这张卡片,则此次消费就会与以前或以后的消费相联系起来。
这种做法就是在客户端保持状态。
3、发给顾客一张会员卡,除了卡号之外什么信息也不纪录,每次消费时,如果顾客出示该卡片,则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。
这种做法就是在服务器端保持状态。
由于HTTP协议是无状态的,而出于种种考虑也不希望使之成为有状态的,因此,后面两种方案就成为现实的选择。
具体来说cookie机制采用的是在客户端保持状态的方案,而ses sion机制采用的是在服务器端保持状态的方案。
同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上它还有其他选择。
(二)理解cookie机制cookie机制的基本原理就如上面的例子一样简单,但是还有几个问题需要解决:“会员卡”如何分发;“会员卡”的内容;以及客户如何使用“会员卡”。
正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。
然而纯粹的客户端脚本如Java Script或者VBScript也可以生成cookie。
而cookie 的使用是由浏览器按照一定的原则在后台自动发送给服务器的。
浏览器检查所有存储的cookie,如果某个co okie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。
cookie sessionid
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}
else
{
for (int i = 0; i < cookie.length; i++)
为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的,并不是写到硬盘上的,这也就是我们刚才看到的JSESSIONID,我们通常情是看不到JSESSIONID的,但是当我们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
三种保持会话的方式
三种保持会话的⽅式(⼀)session机制保持会话使⽤⽅法可以看存在的问题⾼并发情况下,会占⽤服务器⼤量内存分布式(⼀个业务分成⼏个⼦业务,部署在多个服务器)或者集群(⼀个业务部署在多个服务器)的时候,session不能共享。
解决⽅案⾼并发的时候可以将session存储到redis,如果⽤户长时间没有访问,将session存储到redis,就减少了服务器的压⼒。
分布式或者集群的时候,先通过redis来判断⽤户状态也可以实现session共享.(⼆)cookie机制保持会话使⽤的⽅法登录验证后,创建登录凭证(⽐如:⽤户id+登录时间+过期时间),将登录凭证进⾏加密(为了避免暴露信息),加密后写到浏览器的cookie,以后,每次请求都发送cookie,服务器根据对应的解密算法对其进⾏验证(或者将加密过的cookie内容存储到数据库,请求服务器的时候,服务器在数据库进⾏查找)。
存在的问题每次访问都提交cookie,增加请求量其他访问可能需要cookie(⽐如说购物车的信息存放在cookie),浏览器对每个域存储的cookie的⼤⼩有限制,那么需要控制加密后的凭证。
(三)token机制保持会话使⽤⽅法cookie 和session依赖于浏览器,如果客户端不是浏览器,那么需要⼿动添加token(和cookie类似,也是登录凭证),将token添加到http header或者做为参数添加到url。
存在的问题每次访问的时候⼿动添加token和cookie 的⽅式⼀样增加了请求量总结不同的⽅式适合不同的应⽤场景,视情况使⽤。
相同点所有的⽅式⽬的都是为了验证⽤户状态。
都需要在客户端存储凭证。
不同点第⼀种是通过是通过空间换时间,消耗内存存储session对象,但是判断⽤户状态不⽤复杂的逻辑。
第⼆种第三种⽤时间换空间,在服务器端逻辑处理进⾏判断⽤户状态。
浅谈Session机制与Cookie机制
般情况下 ,登录一个 网站时 ,通 常被要求 输入用户 名
和密 码 ,之后 再 进 入 相 关 网 页 就 可 以 畅通 无 阻 ,这 是 什 么 原
以上就是 C o i oke的基本工作原理 。
因呢 ,很多用户并不太清楚 。 这是 因为用户 的信息 被存 储 了 ,那用 户信 息被 谁存储 , 又被存储 在哪 里了 呢?它 可能 被 Ssi es n存 储 ,也 可能 是被 o
【 e od 】 okem ca i Ssinm c ai ; evrbo sr K yw r s C i ehns m; es eh s sre; r e o n m w
1 引言
一
能会 向用户浏览器发送一个 C o i,而浏览器会将这些 C o— oke ok
i分别保存 。 e
2 S si es n与 C o i o oke
21什 么是 S so . es n i
Ssi es n用 中文来解 释就是会话期 。一个会 话期开 始于用 o 户输入一个站点的网址时 ,结束于离开这个站点时 。
S si es n在 We 技 术 中 占有 非 常 重要 的份 量 。 由于 网页 是 o b
一
状态 的解决方 案。 同时我们 也看到 ,由于采 用服务器端 保持
状态的方案在客户端也需要保存一个标识 ,所 以 S s o es n机制 i 可能需要借助于 C o i oke机制来达到保存标识 的 目的。而 S s e— s n提供了方便管理全局 变量 的方式。 i o S s o 是针对每一个用户的 ,变量的值保存在服务器上 , es n i
We b服务 器提 供要求时作确认 。例如 ,在某些 网站 中常常要
求用户登录 , 但 怎么知道用户已经登录了呢 ,如果没有 S s e— s n的话 ,登 录信息是无法保 留的 ,那 岂不要让用户在每一页 i o 网页中都要提供用户名和密码 ?
Flask中的session机制
Flask中的session机制cookie和sessioncookie:⽹站中,http请求是⽆状态的,第⼀次和服务器连接后并且登陆成功后,第⼆次请求服务器依然不能知道当前请求是哪个⽤户。
cookie的出现就是解决了改问题,第⼀次登陆后服务器返回数据(cookie是存储数据的⼀种格式)给浏览器,然后浏览器保存到本地,⽤户第⼆次请求的时候,就会携带cookie数据⾃动携带给服务器,服务器通过浏览器携带的数据就能判断当前⽤户。
cookie存储数据有限,不同浏览器不同的存储⼤⼩,但⼀般不超过4kb,因此cookie只能存储⼩量数据。
session:session与cookie类似,都是存储⽤户相关信息,不同的是cookie存储在本地浏览器,session存储在服务器,存储在服务器的数据会更安全。
但是存储在服务器会占⽤服务器的资源。
cookie和session的结合使⽤:存储在服务端:通过cookie存储⼀个session_id,具体数据保存在session(存储数据的⽅式)中。
⽤户如果已经登陆服务器会在cookie中保存⼀个session_id,下次请求的时候会把sessin_id携带上来,服务器根据session_id在session库中获取⽤户的session数据,就可以知道⽤户是谁。
专业术语叫:sever side sessionflask中将session数据加密,存储在cookie中,专业术语叫client side session。
flask采⽤的就是这个⽅式。
flask中的sessionflask中的session机制是:把敏感数据加密后放⼊session中,然后把session存放到cookie中,下次请求的时候,从浏览器发来的cookie中读取session,再从session中读取敏感数据,并进⾏解密,来获取⽤户数据flask的这种session机制,可以节省服务器的开销,因为把所有的信息都存储到了客户端。
会话及会话技术及答案
第5章一、填空1.服务器向客户端发送Cookie时,会在HTTP响应头字段中增加____响应头字段。
2.Web应用中的会话指的是一个客户端(浏览器)与____之间连续发生的一系列请求和响应过程。
3.Session相对于Cookie具有更高的安全性,它将关键数据保存在____端。
4.在Servlet技术中,提供了两个用于保存会话数据的对象,分别是____和Session。
5.Tomcat容器中会话的有效时间可以在____文件中设置,默认会话过期时间为30分钟。
二、判断1.Tomcat容器中如果将元素中的时间值设置成0或一个负数,则表示会话永不超时。
2.Session是一种将会话数据保存到服务器端的技术,需要借助Cookie技术来实现。
3.Cookie的domain属性是用来指定浏览器访问的域,设置domain属性时严格区分大小写。
4.Cookie的path属性设置后,只对当前访问路径所属的目录有效。
5.一次会话过程中,只允许客户端与服务器进行一次请求与响应过程。
三、选择1.下列对于setMaxAge(-1)方法的描述中,正确的是()A: 表示通知浏览器保存这个Cookie信息B: 表示通知浏览器立即删除这个Cookie信息C: 表示当浏览器关闭时,Cookie信息会被删除D: 以上说法都是错误的2.Tomcat服务器的默认会话超时时间是()A: 30秒B: 30分钟C: 30毫秒D: 30小时3.下面选项中,用于强制使Session对象无效的方法是()A: request. invalidate ();B: session. validate ();C: response. invalidate ();D: session. invalidate ();4.下面选项中,当存在Session对象直接返回,否则返回null的方法是()A: request.getSession();B: request.getSession(true);C: request.getSession(false);D: response.getSession();5.下列选项中,能够用于获取客户端所有cookie对象的方法是()A: List cookies = request.getCookies();B: Cookie[] cookies = request.getCookies();C: List cookies = response.getCookies();D: Cookie[] cookies = response.getCookies();四、简答1.简述什么是会话技术?会话过程类似于生活中的打电话过程,它指的是一个客户端(浏览器)与Web 服务器之间连续发生的一系列请求和响应过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、cookie机制和session机制的区别具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
同时我们也看到,由于在服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上还有其他选择二、会话cookie和持久cookie的区别如果不设置过期时间,则表示这个cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。
这种生命期为浏览会话期的cookie被称为会话cookie。
会话cookie 一般不保存在硬盘上而是保存在内存里。
如果设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。
存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。
而对于保存在内存的cookie,不同的浏览器有不同的处理方式。
三、如何利用实现自动登录当用户在某个网站注册后,就会收到一个惟一用户ID的cookie。
客户后来重新连接时,这个用户ID会自动返回,服务器对它进行检查,确定它是否为注册用户且选择了自动登录,从而使用户务需给出明确的用户名和密码,就可以访问服务器上的资源。
四、如何根据用户的爱好定制站点网站可以使用cookie记录用户的意愿。
对于简单的设置,网站可以直接将页面的设置存储在cookie中完成定制。
然而对于更复杂的定制,网站只需仅将一个惟一的标识符发送给用户,由服务器端的数据库存储每个标识符对应的页面设置。
五、cookie的发送1.创建Cookie对象2.设置最大时效3.将Cookie放入到HTTP响应报头如果你创建了一个cookie,并将他发送到浏览器,默认情况下它是一个会话级别的cookie:存储在浏览器的内存中,用户退出浏览器之后被删除。
如果你希望浏览器将该cookie 存储在磁盘上,则需要使用maxAge,并给出一个以秒为单位的时间。
将最大时效设为0则是命令浏览器删除该cookie。
发送cookie需要使用HttpServletResponse的addCookie方法,将cookie插入到一个Set-CookieHTTP请求报头中。
由于这个方法并不修改任何之前指定的Set-Cookie报头,而是创建新的报头,因此我们将这个方法称为是addCookie,而非setCookie。
同样要记住响应报头必须在任何文档内容发送到客户端之前设置。
六、cookie的读取1.调用request.getCookie要获取有浏览器发送来的cookie,需要调用HttpServletRequest的getCookies方法,这个调用返回Cookie对象的数组,对应由HTTP请求中Cookie报头输入的值。
2.对数组进行循环,调用每个cookie的getName方法,直到找到感兴趣的cookie为止cookie与你的主机(域)相关,而非你的servlet或JSP页面。
因而,尽管你的servlet 可能只发送了单个cookie,你也可能会得到许多不相关的cookie。
例如:String cookieName = userID;Cookie cookies[] = request.getCookies();if (cookies!=null){for(int i=0;iCookie cookie = cookies[i];if (cookieName.equals(cookie.getName())){doSomethingWith(cookie.getValue());}}}七、如何使用cookie检测初访者A.调用HttpServletRequest.getCookies()获取Cookie数组B.在循环中检索指定名字的cookie是否存在以及对应的值是否正确C.如果是则退出循环并设置区别标识D.根据区别标识判断用户是否为初访者从而进行不同的操作八、使用cookie检测初访者的常见错误不能仅仅因为cookie数组中不存在在特定的数据项就认为用户是个初访者。
如果cookie 数组为null,客户可能是一个初访者,也可能是由于用户将cookie删除或禁用造成的结果。
但是,如果数组非null,也不过是显示客户曾经到过你的网站或域,并不能说明他们曾经访问过你的servlet。
其它servlet、JSP页面以及非Java Web应用都可以设置cookie,依据路径的设置,其中的任何cookie都有可能返回给用户的浏览器。
正确的做法是判断cookie数组是否为空且是否存在指定的Cookie对象且值正确。
九、使用cookie属性的注意问题属性是从服务器发送到浏览器的报头的一部分;但它们不属于由浏览器返回给服务器的报头。
因此除了名称和值之外,cookie属性只适用于从服务器输出到客户端的cookie;服务器端来自于浏览器的cookie并没有设置这些属性。
因而不要期望通过request.getCookies得到的cookie中可以使用这个属性。
这意味着,你不能仅仅通过设置cookie的最大时效,发出它,在随后的输入数组中查找适当的cookie,读取它的值,修改它并将它存回Cookie,从而实现不断改变的cookie值。
十、如何使用cookie记录各个用户的访问计数1.获取cookie数组中专门用于统计用户访问次数的cookie的值2.将值转换成int型3.将值加1并用原来的名称重新创建一个Cookie对象4.重新设置最大时效5.将新的cookie输出十一、session在不同环境下的不同含义session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话是从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。
然而当session一词与网络协议相关联时,它又往往隐含了面向连接和/或保持状态这样两个含义。
session在Web开发环境下的语义又有了新的扩展,它的含义是指一类用来在客户端与服务器端之间保持状态的解决方案。
有时候Session也用来指这种解决方案的存储结构。
十二、session的机制session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。
但程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否包含了一个session标识-称为session id,如果已经包含一个session id则说明以前已经为此客户创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个,这种情况可能出现在服务端已经删除了该用户对应的session对象,但用户人为地在请求的URL后面附加上一个JSESSION的参数)。
如果客户请求不包含session id,则为此客户创建一个session并且生成一个与此session相关联的session id,这个session id将在本次响应中返回给客户端保存。
十三、保存session id的几种方式A.保存session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。
B.由于cookie可以被人为的禁止,必须有其它的机制以便在cookie被禁止时仍然能够把session id传递回服务器,经常采用的一种技术叫做URL重写,就是把session id附加在URL路径的后面,附加的方式也有两种,一种是作为URL路径的附加信息,另一种是作为查询字符串附加在URL后面。
网络在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。
C.另一种技术叫做表单隐藏字段。
就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。
十四、session什么时候被创建一个常见的错误是以为session在有客户端访问时就被创建,然而事实是直到某server 端程序(如Servlet)调用HttpServletRequest.getSession(true)这样的语句时才会被创建。
十五、session何时被删除session在下列情况下被删除:A.程序调用HttpSession.invalidate()B.距离上一次收到客户端发送的session id时间间隔超过了session的最大有效时间C.服务器进程被停止再次注意关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效,不会使服务器端的session对象失效。
十六、URL重写有什么缺点对所有的URL使用URL重写,包括超链接,form的action,和重定向的URL。
每个引用你的站点的URL,以及那些返回给用户的URL(即使通过间接手段,比如服务器重定向中的Location字段)都要添加额外的信息。
这意味着在你的站点上不能有任何静态的HTML页面(至少静态页面中不能有任何链接到站点动态页面的链接)。
因此,每个页面都必须使用servlet或JSP动态生成。
即使所有的页面都动态生成,如果用户离开了会话并通过书签或链接再次回来,会话的信息都会丢失,因为存储下来的链接含有错误的标识信息-该URL后面的SESSION ID已经过期了。
十七、使用隐藏的表单域有什么缺点仅当每个页面都是有表单提交而动态生成时,才能使用这种方法。
单击常规的超文本链接并不产生表单提交,因此隐藏的表单域不能支持通常的会话跟踪,只能用于一系列特定的操作中,比如在线商店的结账过程十八、会话跟踪的基本步骤1.访问与当前请求相关的会话对象2.查找与会话相关的信息3.存储会话信息4.废弃会话数据十九、getSession()/getSession(true)、getSession(false)的区别getSession()/getSession(true):当session存在时返回该session,否则新建一个session并返回该对象getSession(false):当session存在时返回该session,否则不会新建session,返回null二十、如何将信息于会话关联起来setAttribute会替换任何之前设定的值;如果想要在不提供任何代替的情况下移除某个值,则应使用removeAttribute。
这个方法会触发所有实现了HttpSessionBindingListener 接口的值的valueUnbound方法。
二十一、会话属性的类型有什么限制吗通常会话属性的类型只要是Object就可以了。