一、Cookie
??由于HTTP是一種無(wú)狀態(tài)協(xié)議剔蹋,每次請(qǐng)求時(shí)旅薄,例如需要登陸的界面如購(gòu)物車(chē)界面,服務(wù)器沒(méi)有辦法單單從網(wǎng)絡(luò)連接上面知道訪(fǎng)問(wèn)者的身份泣崩,為了解決這個(gè)問(wèn)題少梁,就誕生了Cookie。
??Cookie : 主要用來(lái)記錄用戶(hù)狀態(tài)矫付,區(qū)分用戶(hù)凯沪。客戶(hù)端向服務(wù)器發(fā)送請(qǐng)求买优,服務(wù)器生成Cookie同響應(yīng)數(shù)據(jù)一同返回給客戶(hù)端妨马,客戶(hù)端保存Cookie挺举,狀態(tài)保存在客戶(hù)端。
??大多數(shù)的應(yīng)用都是用 Cookie 來(lái)實(shí)現(xiàn)Session的跟蹤烘跺,在 Cookie 里面記錄一個(gè)Session ID湘纵,以后每次請(qǐng)求把這個(gè)會(huì)話(huà)ID發(fā)送到服務(wù)器來(lái)進(jìn)行識(shí)別。如果客戶(hù)端的瀏覽器禁用了 Cookie 怎么辦滤淳?一般這種情況下梧喷,會(huì)使用一種叫做URL重寫(xiě)的技術(shù)來(lái)進(jìn)行會(huì)話(huà)跟蹤,即每次HTTP交互脖咐,URL后面都會(huì)被附加上一個(gè)諸如 sid=xxxxx 這樣的參數(shù)铺敌,服務(wù)端據(jù)此來(lái)識(shí)別用戶(hù)。
??Cookie存儲(chǔ)的數(shù)據(jù)量有限屁擅,且都是保存在客戶(hù)端瀏覽器中偿凭。不同的瀏覽器有不同的存儲(chǔ)大小,但一般不超過(guò)4KB煤蹭。因此使用Cookie實(shí)際上只能存儲(chǔ)一小段的文本信息笔喉。
??Cookie其實(shí)還可以用在一些方便用戶(hù)的場(chǎng)景下,設(shè)想你某次登陸過(guò)一個(gè)網(wǎng)站硝皂,下次登錄的時(shí)候不想再次輸入賬號(hào)了,怎么辦作谭?這個(gè)信息可以寫(xiě)到Cookie里面稽物,訪(fǎng)問(wèn)網(wǎng)站的時(shí)候,網(wǎng)站頁(yè)面的腳本可以讀取這個(gè)信息折欠,就自動(dòng)幫你把用戶(hù)名給填了贝或,能夠方便一下用戶(hù)。
Cookie的主要用途:
- 會(huì)話(huà)狀態(tài)管理(如用戶(hù)登錄狀態(tài)锐秦、購(gòu)物車(chē))
- 個(gè)性化設(shè)置(如用戶(hù)自定義設(shè)置)
- 瀏覽器行為跟蹤(如跟蹤分析用戶(hù)行為)
Cookie的處理步驟
- 服務(wù)器向客戶(hù)端發(fā)送Cookie
- 通常使用HTTP協(xié)議規(guī)定的Set-Cookie頭操作咪奖。
- 規(guī)范規(guī)定Cookie的格式為name = value格式,且必須包含這部分酱床。
- 瀏覽器將Cookie保存
- 每次請(qǐng)求瀏覽器都會(huì)將 Cookie 發(fā)向服務(wù)器
| key | 是否可選 | value |
|---|---|---|
| name | true | xxx |
| value | true | xxx |
| path | false | 路徑 |
| expires | false | UTC 格式時(shí)間 |
| maxAge | false | 是 cookie 多久后過(guò)期的相對(duì)時(shí)間 |
| secure | false | 為true時(shí)cookie 在 HTTP 中是無(wú)效 在 HTTPS 中才有效 |
| httpOnly | false | 瀏覽器不允許腳本操作 document.cookie 去更改 cookie羊赵。一般情況下都應(yīng)該設(shè)置這個(gè)為 true,這樣可以避免被 xss 攻擊拿到 cookie扇谣。 |
Cookies 長(zhǎng)什么樣子昧捷?
??當(dāng)服務(wù)器收到HTTP請(qǐng)求時(shí),可以在響應(yīng)頭里面增加一個(gè)Set-Cookie頭部罐寨。瀏覽器收到響應(yīng)之后會(huì)取出Cookie信息并保存靡挥,之后對(duì)該服務(wù)器每一次請(qǐng)求中都通過(guò)Cookie請(qǐng)求頭部將Cookie信息發(fā)送給服務(wù)器。大概都長(zhǎng)的都是這個(gè)格式:
Set-Cookie: <cookie名稱(chēng)>=<cookie值>
所以一個(gè)簡(jiǎn)單的 Cookie 像這樣:
language=zh_CN; expires=Sat, 16-Jan-2019 08:00:00 GMT; Max-Age=2592000; path=/; domain=192.75.17.211:6603
二鸯绿、Session
??Session:主要用來(lái)記錄用戶(hù)狀態(tài)跋破,區(qū)分用戶(hù)簸淀。服務(wù)端要為特定的用戶(hù)創(chuàng)建特定的Session,用于標(biāo)識(shí)這個(gè)用戶(hù)毒返,并且跟蹤用戶(hù)的后續(xù)操作租幕,狀態(tài)保存在服務(wù)器端。
??當(dāng)有客戶(hù)端訪(fǎng)問(wèn)服務(wù)器時(shí)饿悬,服務(wù)器根據(jù)需求設(shè)置Session令蛉,將會(huì)話(huà)信息保存在服務(wù)器上(主要存儲(chǔ)的的SessionID和Session內(nèi)容,同時(shí)也包含了很多自定義的內(nèi)容如:用戶(hù)基礎(chǔ)信息狡恬、權(quán)限信息珠叔、用戶(hù)機(jī)構(gòu)信息、固定變量等)弟劲,這個(gè)數(shù)據(jù)可以保存在集群祷安、數(shù)據(jù)庫(kù)、文件中兔乞,用于跟蹤用戶(hù)的狀態(tài)汇鞭。客戶(hù)端瀏覽器訪(fǎng)問(wèn)服務(wù)器的時(shí)候庸追,服務(wù)器把客戶(hù)端信息以某種形式記錄在服務(wù)器上霍骄,客戶(hù)端瀏覽器再次訪(fǎng)問(wèn)時(shí)只需要從該Session中查找該客戶(hù)的狀態(tài)就可以了。
??用戶(hù)第一次登錄后淡溯,瀏覽器會(huì)將用戶(hù)信息發(fā)送給服務(wù)器读整,服務(wù)器會(huì)為該用戶(hù)創(chuàng)建一個(gè)SessionID,并在響應(yīng)內(nèi)容(Cookie)中將該SessionID一并返回給瀏覽器咱娶,瀏覽器將這些數(shù)據(jù)保存在本地. 當(dāng)用戶(hù)再次發(fā)送請(qǐng)求時(shí)米间,瀏覽器會(huì)自動(dòng)的把上次請(qǐng)求存儲(chǔ)的Cookie數(shù)據(jù)自動(dòng)的攜帶給服務(wù)器。服務(wù)器接收到請(qǐng)求信息后膘侮,會(huì)通過(guò)瀏覽器請(qǐng)求的數(shù)據(jù)中的SessionID判斷當(dāng)前是哪個(gè)用戶(hù)屈糊,然后根據(jù)SessionID在Session庫(kù)中獲取用戶(hù)的Session數(shù)據(jù)返回給瀏覽器。
??例如:購(gòu)物車(chē)琼了,添加了商品之后客戶(hù)端處可以知道添加了哪些商品逻锐,而服務(wù)器端如何判別呢,所以也需要存儲(chǔ)一些信息就用到了Session表伦。
??如果說(shuō)Cookie機(jī)制是通過(guò)檢查客戶(hù)身上的“身份證”來(lái)確定客戶(hù)身份的話(huà)谦去,那么Session機(jī)制就是通過(guò)檢查服務(wù)器上的“客戶(hù)明細(xì)表”來(lái)確認(rèn)客戶(hù)身份。Session相當(dāng)于程序在服務(wù)器上建立的一份客戶(hù)檔案蹦哼,客戶(hù)來(lái)訪(fǎng)的時(shí)候只需要查詢(xún)客戶(hù)檔案表就可以了鳄哭。Session生成后,只要用戶(hù)繼續(xù)訪(fǎng)問(wèn)纲熏,服務(wù)器就會(huì)更新Session的最后訪(fǎng)問(wèn)時(shí)間妆丘,并維護(hù)該Session锄俄。為防止內(nèi)存溢出,服務(wù)器會(huì)把長(zhǎng)時(shí)間內(nèi)沒(méi)有活躍的Session從內(nèi)存刪除勺拣。這個(gè)時(shí)間就是Session的超時(shí)時(shí)間奶赠。如果超過(guò)了超時(shí)時(shí)間沒(méi)訪(fǎng)問(wèn)過(guò)服務(wù)器,Session就自動(dòng)失效了药有。
三毅戈、Token
??HTTP請(qǐng)求都是以無(wú)狀態(tài)的形式對(duì)接。即HTTP服務(wù)器不知道本次請(qǐng)求和上一次請(qǐng)求是否有關(guān)聯(lián)愤惰。所以就有了Session的引入苇经,即服務(wù)端和客戶(hù)端都保存一段文本,客戶(hù)端每次發(fā)起請(qǐng)求都帶著宦言,這樣服務(wù)器就知道客戶(hù)端是否發(fā)起過(guò)請(qǐng)求扇单。
??這樣,就導(dǎo)致客戶(hù)端頻繁向服務(wù)端發(fā)出請(qǐng)求數(shù)據(jù)奠旺,服務(wù)端頻繁的去數(shù)據(jù)庫(kù)查詢(xún)用戶(hù)名和密碼并進(jìn)行對(duì)比蜘澜,判斷用戶(hù)名和密碼正確與否。而Session的存儲(chǔ)是需要空間的响疚,頻繁的查詢(xún)數(shù)據(jù)庫(kù)給服務(wù)器造成很大的壓力鄙信。
??在這種情況下,Token應(yīng)用而生忿晕。
??Token是服務(wù)端生成的一串字符串扮碧,以作客戶(hù)端進(jìn)行請(qǐng)求的一個(gè)令牌。當(dāng)客戶(hù)端第一次訪(fǎng)問(wèn)服務(wù)端杏糙,服務(wù)端會(huì)根據(jù)傳過(guò)來(lái)的唯一標(biāo)識(shí)userId,運(yùn)用一些算法蚓土,并加上密鑰宏侍,生成一個(gè)Token,然后通過(guò)BASE64編碼一下之后將這個(gè)Token返回給客戶(hù)端蜀漆,客戶(hù)端將Token保存起來(lái)(可以通過(guò)數(shù)據(jù)庫(kù)或文件形式保存本地)谅河。下次請(qǐng)求時(shí),客戶(hù)端只需要帶上Token确丢,服務(wù)器收到請(qǐng)求后绷耍,會(huì)用相同的算法和密鑰去驗(yàn)證Token。
最簡(jiǎn)單的Token組成:uid(用戶(hù)唯一的身份標(biāo)識(shí))鲜侥、time(當(dāng)前時(shí)間的時(shí)間戳)褂始、sign(簽名,由Token的前幾位+鹽以哈希算法壓縮成一定長(zhǎng)的十六進(jìn)制字符串描函,可以防止惡意第三方拼接Token請(qǐng)求服務(wù)器)崎苗。
??使用基于 Token 的身份驗(yàn)證方法狐粱,在服務(wù)端不需要存儲(chǔ)用戶(hù)的登錄記錄。大概的流程是這樣的:
- 客戶(hù)端使用用戶(hù)名跟密碼請(qǐng)求登錄
- 服務(wù)端收到請(qǐng)求胆数,去驗(yàn)證用戶(hù)名與密碼
- 驗(yàn)證成功后肌蜻,服務(wù)端會(huì)簽發(fā)一個(gè)Token,再把這個(gè)Token發(fā)送給客戶(hù)端
- 客戶(hù)端收到Token以后可以把它存儲(chǔ)起來(lái)必尼,比如放- 在Cookie里或者數(shù)據(jù)庫(kù)里
- 客戶(hù)端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的Token
- 服務(wù)端收到請(qǐng)求蒋搜,然后去驗(yàn)證客戶(hù)端請(qǐng)求里面帶著的 Token,如果驗(yàn)證成功判莉,就向客戶(hù)端返回請(qǐng)求的數(shù)據(jù)
??APP登錄的時(shí)候發(fā)送加密的用戶(hù)名和密碼到服務(wù)器豆挽,服務(wù)器驗(yàn)證用戶(hù)名和密碼,如果成功骂租,以某種方式比如隨機(jī)生成32位的字符串作為T(mén)oken祷杈,存儲(chǔ)到服務(wù)器中,并返回Token到APP渗饮,以后APP請(qǐng)求時(shí)但汞,凡是需要驗(yàn)證的地方都要帶上該Token,然后服務(wù)器端驗(yàn)證Token互站,成功返回所需要的結(jié)果私蕾,失敗返回錯(cuò)誤信息,讓他重新登錄胡桃。對(duì)于同一個(gè)APP同一個(gè)手機(jī)當(dāng)前只有一個(gè)Token踩叭;手機(jī)APP會(huì)存儲(chǔ)一個(gè)當(dāng)前有效的Token。其中服務(wù)器上Token設(shè)置一個(gè)有效期翠胰,每次APP請(qǐng)求的時(shí)候都驗(yàn)證Token和有效期容贝。
