HTTP session
HTTP Session
定义
HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
工作原理
当用户首次
访问网站时,服务器会为用户创建一个唯一的 Session ID,并通过Cookie 将其发送到客户端。
客户端在之后的请求中会携带这个 Session ID,服务器通过 Session ID 来识别用户,从而获取用户的会话信息。
服务器通常会将 Session 信息存储在内存、数据库或缓存中。
安全性
与 Cookie 相似,由于 Session ID 是在客户端和服务器之间传递的,因此也存在被窃取的风险。
但是一般虽然 Cookie 被盗取了,但是用户只泄漏了一个 Session ID,私密信息暂时没有被泄露的风险,Session ID 便于服务端进行客户端有效性的管理,比如异地登录。可以通过 HTTPS 和设置合适的 Cookie 属性(如 HttpOnly 和 Secure)来增强安全性。
超时和失效
Session 可以设置超时时间,当超过这个时间后,Session 会自动失效。
服务器也可以主动使 Session 失效,例如当用户登出时。
用途
- 用户认证和会话管理
- 存储用户的临时数据(如购物车内容)
- 实现分布式系统的会话共享(通过将会话数据存储在共享数据库或缓存中)
实验测试 session
Session测试关键代码:
// 查找cookie
std::string prefix = "Cookie: "; // 写入: Set-Cookie: sessionid=1234 提交: Cookie: sessionid=1234
for (auto &line : _req_header)
{
std::string cookie;
if (strncmp(line.c_str(), prefix.c_str(), prefix.size()) == 0) // 找到了
{
cookie = line.substr(prefix.size()); // 截取"Cookie: "之后的就行了
_cookies.emplace_back(cookie);
break;
}
}
// 查找sessionid sessionid=1234
prefix = "sessionid=";
for (const auto &cookie : _cookies)
{
if (strncmp(cookie.c_str(), prefix.c_str(), prefix.size()) == 0)
{
_sessionid = cookie.substr(prefix.size()); // 截取"sessionid="之后的就行了
}
}
}
std::string SessionId()
{
return _sessionid;
}
// 下面的代码就用来测试,如果你想更优雅,可以回调出去处理
static int number = 0;
if (req.Url() == "/login") // 用/login path向指定浏览器写入sessionid,并在服务器维护对应的session对象
{
std::string sessionid = req.SessionId();
if (sessionid.empty()) // 说明历史没有登陆过
{
std::string user = "user-" + std::to_string(number++);
session_ptr s = std::make_shared<Session>(user, "logined");
std::string sessionid = _session_manager->AddSession(s);
lg.LogMessage(Debug, "%s 被添加, sessionid是: %s\n", user.c_str(), sessionid.c_str());
resp.AddHeader(ProveSession(sessionid));
}
}
else
{
// 当浏览器在本站点任何路径中活跃,都会自动提交sessionid, 我们就能知道谁活跃了.
std::string sessionid = req.SessionId();
if (!sessionid.empty())
{
session_ptr s = _session_manager->GetSession(sessionid);
// 这个地方有坑,一定要判断服务器端session对象是否存在,因为可能测试的时候
// 浏览器还有历史sessionid,但是服务器重启之后,session对象没有了.
if(s != nullptr)
lg.LogMessage(Debug, "%s 正在活跃.\n", s->_username.c_str());
else
lg.LogMessage(Debug, "cookie : %s 已经过期, 需要清理\n", sessionid.c_str());
}
}
std::vector<std::string> _cookies; // 其实cookie可以有多个,因为Set-Cookie可以被写多条,测试,一条够了。
std::string _sessionid; // 请求携带的sessionid,仅仅用来测试
- 准备两个浏览器: Google Chrome 和 Microsoft Edge(windows 自带的)
- 删除浏览器中指定的服务器上的所有的 cookie
- 如果历史上没有做过测试,就不删了
- chrome 的 cookie 有些特殊,实验不出来,尝试打印 chrome 浏览器发过来的 http 请求,观察 cookie 部分,你就能知道为什么要删除历史 cookie。
Google Chrome
- 访问/login, 模拟登录
- 两个浏览器访问任意的站点资源
服务器端已经能识别是哪一个浏览器了
总结:
HTTP Cookie 和 Session 都是用于在 Web 应用中跟踪用户状态的机制。Cookie 是存储在客户端的,而 Session 是存储在服务器端的。它们各有优缺点,通常在实际应用中会结合使用,以达到最佳的用户体验和安全性。
- favicon.ico 是一个网站图标,通常显示在浏览器的标签页上、地址栏旁边或收藏夹中。这个图标的文件名 favicon 是 “favorite icon” 的缩写,而 .ico 是图标的文件格式。
- 浏览器在发起请求的时候,也会为了获取图标而专门构建 http 请求。
原文地址:https://blog.csdn.net/2301_77509762/article/details/142315908
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!