一:基础知识
HTTP协议
1.概念:
1.HTTP协议:超文本传输协议,是以TCP/IP协议(注意:TCP/ip具有面向连接的特性)为基础而设计的用于传输网络数据(html文本,图片,数据等)的网络传输协议。 三次握手:c/s结构(客户端/服务器)
C--->S C请求S,表示请求建立连接
C<---S S应答C,表示同意建立连接
C--->S C回复S,表示接收到S的应答
》》》》连接已建立,可以进行数据交互
四次挥手:
C---->S C请求S,表示请求断开连接
C<----S S回复C,表示收到断开连接的请求
C<----S S告知C,你可以进行连接断开
C---->S C告知S,我要断开连接了。
》》》》连接中断
2.HTTP请求具体流程: 当客户端访问URL时,先解析URL并构造HTTP请求数据包,由所建立的TCP连接进行数据包的发送,服务器收到数据包后进行解析,并发送响应数据包,一次完整的http请求包含请求和响应两部分
1.域名解析 -->
2.发起TCP的3次握手 -->
3.建立TCP连接后发起http请求 -->
4.服务器响应http请求,浏览器得到html代码 -->
5.浏览器解析html代码,并请求html代码中的资源(如js、css、图片等) -->
6.浏览器对页面进行渲染呈现给用户.
知识点补给站:
在网页的右键检查里Network->Name->Request Headers view parsed下
的Connection:keep-alive保持常连接,就不用频繁的三次握手和四次挥手!
2.HTTP请求报文格式:
1.http请求包一般格式:
GET / HTTP/1.1
Host: fanyi.youdao.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ************
2.请求方法 常用的请求方法为POST,GET两种方法 POST:
- 主要负责向服务器提交,上传数据
- 没有限制大小(一般为2m)
- 比GET形式传递的数据量大,但是传递速度慢
GET:
- 主要负责从服务器获取数据
- 有大小限制,一般为1024bit
- 比POST更加高效,方便
- URL中添加参数,显示在地址栏
请求行
请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。比如 GET /data/info.html HTTP/1.1
方法字段就是HTTP使用的请求方法,比如常见的GET/POST
其中HTTP协议版本有两种:HTTP1.0/HTTP1.1 可以这样区别:
HTTP1.0对于每个连接都只能传送一个请求和响应,请求就会关闭,HTTP1.0没有Host字段;而HTTP1.1在同一个连接中可以传送多个请求和响应,多个请求可以重叠和同时进行,HTTP1.1必须有Host字段。
HTTP请求头
格式: 名字+:+空格+值
- HOST:指定请求资源的域名(主机,端口号)HTTP请求必须包含host,否则会报400错误
- User-Agent: UA头域的内容包含发出请求的用户信息。浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用。
- Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。服务器能够向支持gzip的浏览器返回经gzip编码的HTML页面。但是这样会有乱码显示,可以选择不进行压缩返回
- Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
- Accept:告诉服务器客户端可以接收的数据类型
- cookie:含有用户的隐私信息
- From:请求发送者的email地址,由一些特殊的Web客户程序使用,浏览器不会用到它。
- Referer:客户机通过这个头告诉服务器,它是从哪个资源来访问服务器的(防盗链)。包含一个URL,用户从该URL代表的页面出发访问当前请求的页面。
- Content-Length:表示请求消息正文的长度。
请求数据
若方法字段是GET,则此项为空,没有数据
若方法字段是POST,则通常来说此处放置的就是要提交的数据
比如要使用POST方法提交一个表单,其中有user字段中数据为“admin”, password字段为123456,那么这里的请求数据就是 user=admin&password=123456,使用&来连接各个字段。
3.HTTP响应报文格式
与请求报文格式类似 常见状态码: 响应数据报头的常见内容
4.HTTP协议特点:
- HTTP是无连接的:无连接的含义是每次仅处理一个请求,当请求处理完成并收到客户端的应答后,便断开连接,这样可以节省资源
- HTTP是媒体独立的:即,只要客户端与服务器确定如何处理数据后,便可通过HTTP协议传输任意类型数据
- HTTP是无状态的:无状态指协议对于事务处理没有记忆能力,缺少状态意味着,当后续处理需要之前操作的信息时,必须重传,会增大数据量。而当不需要之前操作的信息时,数据量会减少。
无状态HTTP官方详解:
HTTP的无状态是指HTTP协议对事务处理是没有记忆能力的,也就是说服务器不知道客户端是什么状态。当我
们向服务器发送请求后,服务器解析此请求,然后返回对应的响应,服务器负责完成这个过程,而且这个过程是完全
独立的,服务器不会记录前后状态的变化,也就是缺少状态记录。这意味着如果后续需要处理前面的信息,则必须重
传,这导致需要额外传递一些前面的重复请求,才能获取后续响应,然而这种效果显然不是我们想要的。为了保持前
后状态,我们肯定不能将前面的请求全部重传一次,这太浪费资源了,对于这种需要用户登录的页面来说,更是棘手。
这时两个用于保持HTTP连接状态的技术就出现了,它们分别是会话和Cookies。下面会介绍到哦!
二:cookie
1.引入原理:
由上文可知,HTTP协议为无状态协议,当后续访问处理需要使用到前面的信息时,重传会消耗大量资源,所以作为web服务器必须 能够采用某种方式来唯一识别同一个用户 可以记录该用户的状态。 而这同一个客户端与服务器端的在一段时间内的多次交互,我们就可以称该客户端为该服务器端的一个客户端会话窗口,有了会话窗口,我们就能确定哪个请求是哪个用户发出的了,从而可以实现会话跟踪,并记录用户的行为。
概念:
会话:可以理解为用户打开浏览器》》访问服务器多个资源》》》关闭浏览器 的这一个过程成为会话
有状态的会话:浏览器发送的每一次请求,每一个会话都要有唯一的标识来唯一标识自己,当浏览器发送请求的时候就带上这个标识来让服务器识别,从而实现有“状态”的会话。
(cookie与session都为实现会话的机制)
2.基本介绍
1)当浏览器访问URL时,服务器会生成set-cookie键值对,包含在HTTP响应头中发送给客户端,客户端接收到之后,会在本地内存或外存中将客户端发送的cookie键值对保存下来,当下一次访问该URL或URL下的资源时,会将该cookie伴随HTTP请求包发送给服务器(至于怎么区分不同网站的cookie的,很简单,每个网站都给他一个唯一标识比如网址等,每次打开某网址时,就查询该网站下的所有cookie值即可。) 2)每一个cookie都有一个name和一个value,且name是唯一的。相同名字时,后者会覆盖掉前者(类似哈希表的key的效果)。 3)一个WEB浏览器也可以存储多个WEB站点提供的Cookie。浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。 cookie为本地生成本地保存,发送给
分类
1.会话级别cookie:服务器产生后发给客户端,客户端保存在浏览器中(内存中)伴随浏览器的关闭,cookie会被删除 2.存储级别cookie:若希望浏览器将该cookie存储在磁盘上,则需要设置该cookie的生命周期setMaxAge,并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。
作用域
domain:规定cookie作用的URL范围,即:访问哪些URL或域名时会携带有cookie path:规定cookie作用URL的路径,默认情况下为任意路径
三:session
当浏览器使用cookie时,因为cookie最大长度为4096B,cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取 因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。
1.基本原理
当用户发送一个请求到服务器端时,服务器会先检查请求中是否含有sessionid(存在cookie中或者在url中),
》》如果不存在sessionid(说明是第一次请求),就会为该请求用户创建一个session对象,并将该session对象的sessionid(放到响应头的set-cookie中,格式set-cookie:sessionid,下次再请求时cookie中就会有一个name为jsessionid的cookie,value就是sessionid)响应给客户端。
》》如果存在sessionid,就会在服务器端查找是否有该sessionid对应的session,如果有就使用,没有就创建一个。
所以说,服务器端的session和客户端的cookie是息息相关的,若是没有了cookie,又不做其他处理的话,服务器端的session也没了。
2.概念
session:存储于cookie中的一种信息,用于区分用户。此机制采用服务器端存储session,将session-id回送给客户端,当客户端访问会话时,为了区别用户,请求数据包中会含有jssession-id,服务器收到jssession-id后会与所存储的session-id对照表进行对照,确定访问用户,实现会话状态的延续。
为了加速session的读取和存储,web服务器中会开辟一块内存用来保存服务器端所有的session,每个session都会有一个唯一标识sessionid,根据客户端传过来的jsessionid(cookie中),找到对应的服务器端的session。为了防止服务器端的session过多导致内存溢出,web服务器默认会给每个session设置一个有效期, (30分钟)若有效期内客户端没有访问过该session,服务器就认为该客户端已离线并删除该session。
保存session-id的方式
存于cookie中
在cookie中会有session字段,存有jsession-id,伴随HTTP请求头一起发送给服务器
URL重写
当浏览器Cookie被禁时用。
就是把session的id附加在URL路径的后面。附加的方式也有两种,一种是作为URL路径的附加信息,另一种是作为查询字符串附加在URL后面。
做法:
1、response.encodeURL(String url)用于对表单action和超链接的url地址进行重写
2、response.encodeRedirectURL(String url) 用于对sendRedirect方法后的url地址进行重写。
这两个方法很智能,若浏览器禁用了cookie,就默认会进行url重写(url中带上sessionid),当用户浏览器没有禁用cookie时,就不在URL后附加sessionid。
用法就是代替response.sendRedirect(String url)
四:token
1.概念
token:可以翻译成"令牌",本质上它是一个全局唯一的字符串,用来唯一识别一个客户端。但它不像cookie和session一样是一种web规范,个人认为他是借鉴了cookie和session工作的原理,进而延伸出来的一种维持用户会话状态的机制。
2.解决的问题
token解决了session依赖于单个Web服务器的问题。 单体应用时用户的会话信息保存在session中,session存在于服务器端的内存中,由于前前后后用户只针对一个web服务器,所以没啥问题。 但是一到了web服务器集群的环境下(我们一般都是用Nginx做负载均衡,若是使用了轮询等这种请求分配策略),就会导致用户小a在A服务器登录了。 session存在于A服务器中,但是第二次请求被分配到了B服务器,由于B服务器中没有用户小a的session会话,导致用户小a还要再登陆一次,以此类推。这样用户体验很不好。 当然解决办法也有很多种,比如同一个用户分配到同一个服务器处理、使用cookie保持用户会话信息等。
我们今天讨论的是用户会话信息集中存储的这种方案。类比之前cookie和session的机制,在请求中根据cookie中的jesessionid来自动找到服务器端的session,从而从session中取出当前用户的会话信息。
3.token机制详解
- 随机生成全局唯一任意字符串口令: cookie中是根据jesessionid来找到服务器端的session的,jesessionid就是一个全局唯一的随机字符串,我们也可以生成一个全局唯一的字符串比如使用UUID或时间戳加随机字符串的形式;
- 服务器端的会话信息存储: web服务器在内存中存储所有的session,每个session都有一个唯一的id标识,value就是session本身,session里面又有好多键值对。数据在内存中、key-value形式的、value里面又有好多键值对,这简直就是对redis的哈希表十分准确的描述啊,所以我们可以使用redis的哈希类型来模型服务器端的session。
- 构造全局字符串与会话信息存储的对应关系
cookie和session机制中是根据cookie中的jesessionid来自动找到服务器端的session,说是自动查找,其实是我们调用了他封装好的方法request.getSession()获取的,这个request中就包含了本次请求的所有信息,而调用的getSession()方法中,肯定做了这件事——获取请求头中cookie的jesessionid的值,根据这个值到服务器的内存中找到对应的session并返回。所以我们也完全可以模仿它这种机制:我们可以在用户第一次请求该web服务器时或是用户登录该web服务器时,生成一个全局唯一的token返回给前端存储,同时将该用户信息存到redis中并设置有效期,之后每次请求中都在请求头中带着这个token,服务器端根据这个token到redis中查找对应的用户信息,即得到了我们所说的 “session”。
五:总结
- cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。
cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。 - 问题来了,基于http协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。
- 我们可以给每个客户端的cookie分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。
- 总结而言:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”;但是cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。
- 而token则解决了当服务器端为web集群服务器时,具有多个服务器的session存储问题,当A服务器存有session,B无session,则客户端访问B还需要重新登陆。所以使用token将用户信息存储在Regis中,并将全局唯一的token发送给客户端,记录在cookie中。解决了session中存在的访问冗余问题
|