HTTP 最初是一個匿名洛勉、無狀態(tài)的請求 / 響應(yīng)協(xié)議页屠。服務(wù)器處理來自客戶端的請求,然后向客戶端回送一條響應(yīng)特幔。Web 服務(wù)器幾乎沒有什么信息可以用來判定是哪個用戶發(fā)送的請求咨演,也無法記錄來訪用戶的請求序列。
下表給出了七種最常見的用來承載用戶相關(guān)信息的 HTTP 請求首部
| 首部名稱 | 首部類型 | 描述 |
|---|---|---|
| From | 請求 | 用戶的E-mail地址 |
| User-Agent | 請求 | 用戶的瀏覽器軟件 |
| Referer | 請求 | 用戶是從這個頁面上依照鏈接跳轉(zhuǎn)過來的 |
| Authorization | 請求 | 用戶名和密碼 |
| Client-IP | 擴(kuò)展(請求) | 客戶端的IP地址 |
| X-Forwarded-For | 擴(kuò)展(請求) | 客戶端的IP地址 |
| Cookie | 擴(kuò)展(請求) | 服務(wù)器產(chǎn)生的ID標(biāo)簽 |
HTTP 基本認(rèn)證
http內(nèi)置了一種基本的認(rèn)證方式蚯斯,服務(wù)端對某次請求返回401薄风,且響應(yīng)頭中包含WWW-Authenticate首部饵较。
res.writeHead(401, {
'WWW-Authenticate': 'Basic realm="only_english"'
})
此時,瀏覽器會彈出登錄框
輸入完用戶名和密碼后遭赂,點(diǎn)擊確定循诉,瀏覽器會再次發(fā)送該請求,但是請求頭首部中會攜帶Authorization首部撇他。
Authorization: Basic YWRtaW46MTIzNDU2
對YWRtaW46MTIzNDU2進(jìn)行base64解碼茄猫,可得admin:123456(正是我上面所輸入的用戶名admin,和密碼123456)
所以服務(wù)端程序應(yīng)該判斷請求頭中有無Authorization首部困肩,如果有的話划纽,對其內(nèi)容進(jìn)行base64解碼,獲得用戶名和密碼锌畸,然后去和數(shù)據(jù)庫數(shù)據(jù)進(jìn)行匹配校驗登錄是否成功勇劣。
今后的請求要使用用戶名和密碼時,瀏覽器會自動將存儲下來的值發(fā)送出去潭枣,甚至在站點(diǎn)沒有要求發(fā)送的時候也經(jīng)常會向其發(fā)送芭毙。瀏覽器在每次請求中都向服務(wù)器發(fā)送Authorization首部作為一種身份的標(biāo)識,這樣卸耘,只要登錄一次退敦,就可以在整個會話期間維持用戶的身份了。
Cookie
可以籠統(tǒng)地將 cookie 分為兩類:會話 cookie 和持久 cookie蚣抗。會話cookie 是一種臨時 cookie侈百,它記錄了用戶訪問站點(diǎn)時的設(shè)置和偏好。用戶退出瀏覽器時翰铡,會話 cookie 就被刪除了钝域。持久 cookie 的生存時間更長一些;它們存儲在硬盤上锭魔,瀏覽器退出例证,計算機(jī)重啟時它們?nèi)匀淮嬖凇Mǔ贸志?cookie 維護(hù)某個用戶會周期性訪問的站點(diǎn)的配置文件或登錄名迷捧。會話 cookie 和持久 cookie 之間唯一的區(qū)別就是它們的過期時間织咧。稍后我們會看到,如果設(shè)置了Discard參數(shù)漠秋,或者沒有設(shè)置Expires或Max-Age參數(shù)來說明擴(kuò)展的過期時間笙蒙,這個 cookie 就是一個會話cookie。
cookie 就像服務(wù)器給用戶貼的“嗨庆锦,我叫”的貼紙一樣捅位。用戶訪問一個Web 站點(diǎn)時,這個 Web 站點(diǎn)就可以讀取那個服務(wù)器貼在用戶身上的所有貼紙。
用戶首次訪問 Web 站點(diǎn)時艇搀,Web 服務(wù)器對用戶一無所知尿扯。Web 服務(wù)器希望這個用戶會再次回來,所以想給這個用戶“拍上”一個獨(dú)有的 cookie焰雕,這樣以后它就可以識別出這個用戶了姜胖。cookie中包含了一個由名字 = 值(name=value)這樣的信息構(gòu)成的任意列表,并通過Set-Cookie或Set-Cookie2HTTP 響應(yīng)(擴(kuò)展)首部將其貼到用戶身上去淀散。
語法:
Set-Cookie: name=value [; expires=date] [; path=path] [; domain=domain][; secure]
Cookie: name1=value1 [; name2=value2] ...
| Set-Cookie屬性 | 描述及實例 |
|---|---|
| NAME=VALUE | 強(qiáng)制的右莱。 |
| Expires | 可選的。這個屬性會指定一個日期字符串档插,用來定義cookie 的實際生存期慢蜓。<br />日期的格式為:Weekday, DD-Mon-YY HH:MM:SS GMT。<br />唯一合法的時區(qū)為GMT郭膛,各日期元素之間的分隔符一定要是長劃線晨抡。<br />如果沒有指定Expires, cookie 就會在用戶會話結(jié)束時過期则剃。<br />Set-Cookie: foo=bar; expires=Wednesday, 09-Nov-99 23:12:40 GMT |
| Domain | 可選的耘柱。瀏覽器只向指定域中的服務(wù)器主機(jī)名發(fā)送cookie。這樣服務(wù)器就將 cookie 限制在了特定的域中棍现。acme.com 域就與 anvil.acme.com 和 shipping.crate.acme.com 相匹配调煎,但與www.cnn.com 就不匹配了。<br />Set-Cookie: SHIPPING=FEDEX; domain="joes-hardware.com" |
| Path | 可選的己肮。通過這個屬性可以為服務(wù)器上特定的文檔分配cookie士袄。<br />如果沒有指定路徑,就將其設(shè)置為產(chǎn)生Set-Cookie響應(yīng)的 URL 的路徑谎僻,例如文檔地址為/a/b娄柳,path為/a。文檔地址為/a/b/c,path為/a/b。需要注意的是榔至,/a/b/c除了可以獲得/a/b下的cookie,也可以獲得/a下的cookie挎挖。<br />Set-Cookie: lastorder=00183; path=/orders |
| Secure | 可選的。如果包含了這一屬性般甲,就只有在 HTTP 使用 SSL 安全連接時才會發(fā)送 cookie:<br />Set-Cookie: private_id=519; secure |
這里主要需要注意的是Cookie的domain屬性(域?qū)傩裕├哒В驅(qū)傩灾苯又该髁薈ookie在什么域下可以使用,假如現(xiàn)在有兩個域名:
account.test.com // 域名1
shop.test.com // 域名2
域名1和域名2都是test.com的子域名敷存,在域名1中,可以設(shè)置account.test.com和test.com的域下面的Cookie,同理锚烦,在域名2中觅闽,可以設(shè)置shop.test.com和test.com的域下面的Cookie。正因為如此涮俄,才可以實現(xiàn)單點(diǎn)登錄蛉拙,例如錘子科技在https://account.smartisan.com中登錄后,你再去錘子論壇http://bbs.smartisan.com/時彻亲,登錄態(tài)仍然存在孕锄,就是這個道理。
額外補(bǔ)充一點(diǎn)苞尝,設(shè)置Cookie時畸肆,如果顯式地設(shè)置了domain屬性,例如宙址,test.com轴脐,瀏覽器存儲時會自動在前面加.,變成.test.com存儲抡砂,只有在沒有設(shè)置domain屬性的情況下大咱,瀏覽器會默認(rèn)加上當(dāng)前的域名所在的域,且不會在頭部加.注益,保證這個cookie只在當(dāng)前域名下可用碴巾。
