基于 Cookie/Session 的认证方案
Cookie
Cookie的工作原理
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份 。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证 。这样服务器就能从通行证上确认客户身份了 。这就是 。cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能 。cookie的保存时间,可以自己在程序中设置 。如果没有设置保存时间,应该是一关闭浏览器,cookie就自动消失 。
Cookie实际上是一小段的文本信息 。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie 。客户端浏览器会把Cookie保存起来 。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器 。服务器检查该Cookie,以此来辨认用户状态 。服务器还可以根据需要修改Cookie的内容 。
注意:Cookie功能需要浏览器的支持 。如果浏览器不支持Cookie(如大部分手机中的浏览器)或者把Cookie禁用了,Cookie功能就会失效 。不同的浏览器采用不同的方式保存Cookie 。IE浏览器会以文本文件形式保存,一个文本文件保存一个Cookie 。
Cookie的不可跨域名性
Cookie具有不可跨域名性 。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie 。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名 。
Session
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上 。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上 。这就是Session 。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了 。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份 。
session 也是类似的道理,服务器要知道当前发请求给自己的是谁 。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了 。对于浏览器客户端,大家都默认采用 cookie 的方式,保存这个“身份标识” 。
服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁 。这种用户信息存储方式相对cookie来说更安 。
可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失 。
提示:Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,会对服务器造成压力 。
Cookie与Session的区别和联系
cookie数据存放在客户的浏览器上,session数据放在服务器上;cookie不是很安全,别人可以分析存放在本地的COOKIE并进行 COOKIE欺骗,考虑到安全应当使用session;session会在一定时间内保存在服务器上 。当访问增多,会比较占用你服务器的性能 。考虑到减轻服务器性能方面,应当使用COOKIE;单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K;
Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用 。
推荐阅读
- 微信版本低登录不了怎么办
- 微信怎么关闭朋友圈
- 我要投诉拼多多官方平台 拼多多登录平台登录
- 青少年普法网手机怎么登录
- 支付宝怎么付款
- 怎么能让不是微信朋友看朋友圈
- 守望先锋2无法让您登录怎么办-无法登录解决方法
- 怎么区分塑料生熟材质,怎么区分塑料生熟材质和工艺
- 艺术设计与制作专业工资待遇好不好 前景如何
- 艺术设计与制作专业好吗 毕业以后吃香吗