目录
前言 -- HTTP的无状态
概念
工作原理
Cookie 分类
会话 Cookie -- 内存级存储
持久 Cookie -- 文件级存储
用户 username
过期时间 expires
指定路径 path
session
概念
工作原理
代码验证session
THE END
前言 -- HTTP的无状态
HTTP的无状态是指每个请求都是独立的,从技术角度看,HTTP本身并不保持任何关于之前请求的状态信息。也就是说,一旦客户端发送了一个请求并收到了服务器的响应,连接就会关闭,而服务器不会在两次请求之间保留任何有关客户端的信息。这意味着每次新的请求都会被当作全新的交互处理,而不考虑之前的交互历史,包括登录操作。
假设 爱奇艺 中有的视频可以以游客身份观看,有的视频需要用户登录后,以普通用户的身份观看视频,有的视频需要会员身份才可以观看,由于 HTTP 是无状态的,也就是说,当用户向爱奇艺服务器发起观看某个视频的请求时,服务器需要确认用户的身份(是游客、普通用户还是会员),当用户登录后,再次发起观看视频的请求时,服务器已经不记得该用户曾经登录过了,服务器又不认识我了,服务器就像一个健忘的人,刚和它说我是谁,下一秒就不记得我是谁了,所以需要引入 cookie 和 session 技术,来标识不同用户的身份,让服务器记住我是谁。
cookie
概念
服务器可以在响应中发送一个特殊的头部,指示浏览器保存一些信息(cookie),并在后续请求中自动将其包含在内。这样服务器就可以通过读取这些信息识别用户。
工作原理
- 当用户第一次访问网站时,服务器会在响应的 HTTP 报头中设置 Set-Cookie 字段,用于发送 Cookie 到用户的浏览器;
- 浏览器在接收到 Cookie 后,会将其保存到本地;
- 在之后的请求后,浏览器会自动在 HTTP 请求报头中携带 Cookie 字段,将之前保存的 Cookie 信息发送给服务器。
以 B站 为例,当登录 B站后,可以在浏览器中查看网站的 Cookie :
Cookie 分类
会话 Cookie -- 内存级存储
如果一个 Cookie 没有设置 Expires或 Max-Age属性,它将被视为会话Cookie。这类 Cookie 通常只保存在浏览器的内存中,当浏览器关闭时(实际上是浏览器进程结束),这些 Cookie 就会被删除。
由于会话Cookie是保存在内存中的,它们具有临时性质,并且不会持久化到磁盘。这使得它们适用于短期状态管理,例如保持用户的登录状态直到浏览器关闭。
持久 Cookie -- 文件级存储
当一个 Cookie 设置了 Expires或 Max-Age属性,它会被认为是一个持久化 Cookie。浏览器会在本地文件系统中创建一个文件来存储这个 Cookie,以便即使浏览器重启后也能恢复该 Cookie。
持久化Cookie可以在用户关闭浏览器后仍然存在,直到过期时间到达或者用户手动清除它们。这种类型的Cookie常用于记住用户的偏好设置、语言选择等长期有效信息。
代码验证 cookie
Cookie_and_Session/Cookie · zihuixie/Linux_Learning - 码云 - 开源中国
https://gitee.com/zihuixie/linux_-learning/tree/master/Cookie_and_Session/Cookie
用户 username
std::string ProveCookieWrite() // 证明cookie能被写入浏览器
{return "Set-Cookie: username=lucao;";
}
过期时间 expires
如果没有设置过期时间,那么 Cookie 是内存级存储,设置了过期时间,Cookie 是文件级存储。
std::string GetMonthName(int month){std::vector<std::string> months = {"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec"};return months[month];}std::string GetWeekDayName(int day){std::vector<std::string> weekdays = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"};return weekdays[day];}std::string ExpireTimeUseRfc1123(int t) // 秒级别的未来UTC时间{time_t timeout = time(nullptr) + t;struct tm *tm = gmtime(&timeout); // 这里不能用localtime,因为localtime是默认带了时区的. gmtime获取的就是UTC统一时间char timebuffer[1024];//时间格式如: expires=Thu, 18 Dec 2024 12:00:00 UTCsnprintf(timebuffer, sizeof(timebuffer), "%s, %02d %s %d %02d:%02d:%02d UTC", GetWeekDayName(tm->tm_wday).c_str(),tm->tm_mday,GetMonthName(tm->tm_mon).c_str(),tm->tm_year+1900,tm->tm_hour,tm->tm_min,tm->tm_sec);return timebuffer;}std::string ProveCookieTimeOut(){return "Set-Cookie: username=lucao; expires=" + ExpireTimeUseRfc1123(60) + ";"; // 让cookie 1min后过期}
指定路径 path
std::string ProvePath(){return "Set-Cookie: username=lucao; path=/a/b;";}
cookie 的不足
由于 Cookie 是存储在浏览器的,存在用户的私密数据被篡改或窃取、甚至泄露的风险。
session
概念
HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制,服务器通过 Session 来记住用户的信息。与 Cookies 不同的是,Sessions的数据主要保存在服务器端,而客户端仅持有会话标识符(通常是通过一个名为
session_id的cookie)。
工作原理
- 当用户首次访问网站时,服务器会为用户创建一个具有唯一性的 Session ID,并通过 Cookie 将其发送到客户端;
- 客户端在之后的请求中会携带这个 Session ID,服务器通过 Session ID 来识别用户,从而获取用户的会话信息;
- 服务器通常会将 Session 信息存储在内存、数据库或缓存中。
当然 Session 也存在不足,session id 也可能被盗窃。 服务器可以通过用户的异常行为(比如异常地频繁添加好友、登录地址的变更)来判断用户的数据是否面临风险,此时服务器可以让 session id 失效,避免用户的数据被窃取,此时需要重新登录,才可以继续访问资源:
- 如果该用户的数据确实被窃取,那么窃取者就无法访问页面了,需要重新想办法获取用户账户密码等;
- 如果 “误杀” 了用户,用户只需要按照登录的流程重新登录即可。
代码验证session
Cookie_and_Session/Session · zihuixie/Linux_Learning - 码云 - 开源中国https://gitee.com/zihuixie/linux_-learning/tree/master/Cookie_and_Session/Session
THE END
Cookie 和 Session 通常在实际应用中会结合使用, 以达到最佳的用户体验和安全性。
![75,【7】BUUCTF WEB [Weblogic]SSRF(未作出)](https://i-blog.csdnimg.cn/direct/4aaee3201d644e1692be0cbb686f71be.png)
