IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> cookiesessiontoken三剑客 -> 正文阅读

[网络协议]cookiesessiontoken三剑客

一:基础知识

HTTP协议

1.概念:

1.HTTP协议:超文本传输协议,是以TCP/IP协议(注意:TCP/ip具有面向连接的特性)为基础而设计的用于传输网络数据(html文本,图片,数据等)的网络传输协议。
三次握手:c/s结构(客户端/服务器)

C--->S  C请求S,表示请求建立连接
C<---S  S应答C,表示同意建立连接
C--->S  C回复S,表示接收到S的应答
》》》》连接已建立,可以进行数据交互

四次挥手:

C---->S   C请求S,表示请求断开连接
C<----S   S回复C,表示收到断开连接的请求
C<----S   S告知C,你可以进行连接断开
C---->S	  C告知S,我要断开连接了。
》》》》连接中断

2.HTTP请求具体流程:
当客户端访问URL时,先解析URL并构造HTTP请求数据包,由所建立的TCP连接进行数据包的发送,服务器收到数据包后进行解析,并发送响应数据包,一次完整的http请求包含请求和响应两部分

1.域名解析 --> 

2.发起TCP的3次握手 --> 

3.建立TCP连接后发起http请求 --> 

4.服务器响应http请求,浏览器得到html代码 --> 

5.浏览器解析html代码,并请求html代码中的资源(如js、css、图片等) --> 

6.浏览器对页面进行渲染呈现给用户.


知识点补给站:
	在网页的右键检查里Network->Name->Request Headers  view parsed下
	的Connection:keep-alive保持常连接,就不用频繁的三次握手和四次挥手!

2.HTTP请求报文格式:

1.http请求包一般格式:
在这里插入图片描述

GET / HTTP/1.1    #请求行
Host: fanyi.youdao.com     #请求头
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ************		#请求头



2.请求方法
常用的请求方法为POST,GET两种方法
POST:

  • 主要负责向服务器提交,上传数据
  • 没有限制大小(一般为2m)
  • 比GET形式传递的数据量大,但是传递速度慢

GET:

  • 主要负责从服务器获取数据
  • 有大小限制,一般为1024bit
  • 比POST更加高效,方便
  • URL中添加参数,显示在地址栏

请求行

请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。比如 GET /data/info.html HTTP/1.1

方法字段就是HTTP使用的请求方法,比如常见的GET/POST

其中HTTP协议版本有两种:HTTP1.0/HTTP1.1 可以这样区别:

HTTP1.0对于每个连接都只能传送一个请求和响应,请求就会关闭,HTTP1.0没有Host字段;而HTTP1.1在同一个连接中可以传送多个请求和响应,多个请求可以重叠和同时进行,HTTP1.1必须有Host字段。

HTTP请求头

格式:
名字+:+空格+值

  • HOST:指定请求资源的域名(主机,端口号)HTTP请求必须包含host,否则会报400错误
  • User-Agent: UA头域的内容包含发出请求的用户信息。浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用。
  • Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。服务器能够向支持gzip的浏览器返回经gzip编码的HTML页面。但是这样会有乱码显示,可以选择不进行压缩返回
  • Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
  • Accept:告诉服务器客户端可以接收的数据类型
  • cookie:含有用户的隐私信息
  • From:请求发送者的email地址,由一些特殊的Web客户程序使用,浏览器不会用到它。
  • Referer:客户机通过这个头告诉服务器,它是从哪个资源来访问服务器的(防盗链)。包含一个URL,用户从该URL代表的页面出发访问当前请求的页面。
  • Content-Length:表示请求消息正文的长度。

请求数据

若方法字段是GET,则此项为空,没有数据

若方法字段是POST,则通常来说此处放置的就是要提交的数据

比如要使用POST方法提交一个表单,其中有user字段中数据为“admin”, password字段为123456,那么这里的请求数据就是 user=admin&password=123456,使用&来连接各个字段。

3.HTTP响应报文格式

与请求报文格式类似
在这里插入图片描述
常见状态码:
在这里插入图片描述
响应数据报头的常见内容
在这里插入图片描述

4.HTTP协议特点:

  • HTTP是无连接的:无连接的含义是每次仅处理一个请求,当请求处理完成并收到客户端的应答后,便断开连接,这样可以节省资源
  • HTTP是媒体独立的:即,只要客户端与服务器确定如何处理数据后,便可通过HTTP协议传输任意类型数据
  • HTTP是无状态的:无状态指协议对于事务处理没有记忆能力,缺少状态意味着,当后续处理需要之前操作的信息时,必须重传,会增大数据量。而当不需要之前操作的信息时,数据量会减少。
无状态HTTP官方详解:
	HTTP的无状态是指HTTP协议对事务处理是没有记忆能力的,也就是说服务器不知道客户端是什么状态。当我
们向服务器发送请求后,服务器解析此请求,然后返回对应的响应,服务器负责完成这个过程,而且这个过程是完全
独立的,服务器不会记录前后状态的变化,也就是缺少状态记录。这意味着如果后续需要处理前面的信息,则必须重
传,这导致需要额外传递一些前面的重复请求,才能获取后续响应,然而这种效果显然不是我们想要的。为了保持前
后状态,我们肯定不能将前面的请求全部重传一次,这太浪费资源了,对于这种需要用户登录的页面来说,更是棘手。
	这时两个用于保持HTTP连接状态的技术就出现了,它们分别是会话和Cookies。下面会介绍到哦!

二:cookie

1.引入原理:

由上文可知,HTTP协议为无状态协议,当后续访问处理需要使用到前面的信息时,重传会消耗大量资源,所以作为web服务器必须
能够采用某种方式来唯一识别同一个用户
可以记录该用户的状态。
而这同一个客户端与服务器端的在一段时间内的多次交互,我们就可以称该客户端为该服务器端的一个客户端会话窗口,有了会话窗口,我们就能确定哪个请求是哪个用户发出的了,从而可以实现会话跟踪,并记录用户的行为。

概念:

会话:可以理解为用户打开浏览器》》访问服务器多个资源》》》关闭浏览器   的这一个过程成为会话
有状态的会话:浏览器发送的每一次请求,每一个会话都要有唯一的标识来唯一标识自己,当浏览器发送请求的时候就带上这个标识来让服务器识别,从而实现有“状态”的会话。

(cookie与session都为实现会话的机制)

2.基本介绍

1)当浏览器访问URL时,服务器会生成set-cookie键值对,包含在HTTP响应头中发送给客户端,客户端接收到之后,会在本地内存或外存中将客户端发送的cookie键值对保存下来,当下一次访问该URL或URL下的资源时,会将该cookie伴随HTTP请求包发送给服务器(至于怎么区分不同网站的cookie的,很简单,每个网站都给他一个唯一标识比如网址等,每次打开某网址时,就查询该网站下的所有cookie值即可。)
2)每一个cookie都有一个name和一个value,且name是唯一的。相同名字时,后者会覆盖掉前者(类似哈希表的key的效果)。
3)一个WEB浏览器也可以存储多个WEB站点提供的Cookie。浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。
cookie为本地生成本地保存,发送给

分类

1.会话级别cookie:服务器产生后发给客户端,客户端保存在浏览器中(内存中)伴随浏览器的关闭,cookie会被删除
2.存储级别cookie:若希望浏览器将该cookie存储在磁盘上,则需要设置该cookie的生命周期setMaxAge,并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。

作用域

domain:规定cookie作用的URL范围,即:访问哪些URL或域名时会携带有cookie
path:规定cookie作用URL的路径,默认情况下为任意路径

三:session

当浏览器使用cookie时,因为cookie最大长度为4096B,cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取
因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。

1.基本原理

当用户发送一个请求到服务器端时,服务器会先检查请求中是否含有sessionid(存在cookie中或者在url中),

》》如果不存在sessionid(说明是第一次请求),就会为该请求用户创建一个session对象,并将该session对象的sessionid(放到响应头的set-cookie中,格式set-cookie:sessionid,下次再请求时cookie中就会有一个name为jsessionid的cookie,value就是sessionid)响应给客户端。

》》如果存在sessionid,就会在服务器端查找是否有该sessionid对应的session,如果有就使用,没有就创建一个。

所以说,服务器端的session和客户端的cookie是息息相关的,若是没有了cookie,又不做其他处理的话,服务器端的session也没了。

2.概念

session:存储于cookie中的一种信息,用于区分用户。此机制采用服务器端存储session,将session-id回送给客户端,当客户端访问会话时,为了区别用户,请求数据包中会含有jssession-id,服务器收到jssession-id后会与所存储的session-id对照表进行对照,确定访问用户,实现会话状态的延续。

为了加速session的读取和存储,web服务器中会开辟一块内存用来保存服务器端所有的session,每个session都会有一个唯一标识sessionid,根据客户端传过来的jsessionid(cookie中),找到对应的服务器端的session。为了防止服务器端的session过多导致内存溢出,web服务器默认会给每个session设置一个有效期, (30分钟)若有效期内客户端没有访问过该session,服务器就认为该客户端已离线并删除该session。

保存session-id的方式

存于cookie中

在cookie中会有session字段,存有jsession-id,伴随HTTP请求头一起发送给服务器

URL重写

当浏览器Cookie被禁时用。

就是把session的id附加在URL路径的后面。附加的方式也有两种,一种是作为URL路径的附加信息,另一种是作为查询字符串附加在URL后面。

做法:

1、response.encodeURL(String url)用于对表单action和超链接的url地址进行重写

2、response.encodeRedirectURL(String url) 用于对sendRedirect方法后的url地址进行重写。

这两个方法很智能,若浏览器禁用了cookie,就默认会进行url重写(url中带上sessionid),当用户浏览器没有禁用cookie时,就不在URL后附加sessionid。

用法就是代替response.sendRedirect(String url)

四:token

1.概念

token:可以翻译成"令牌",本质上它是一个全局唯一的字符串,用来唯一识别一个客户端。但它不像cookie和session一样是一种web规范,个人认为他是借鉴了cookie和session工作的原理,进而延伸出来的一种维持用户会话状态的机制。

2.解决的问题

token解决了session依赖于单个Web服务器的问题。
单体应用时用户的会话信息保存在session中,session存在于服务器端的内存中,由于前前后后用户只针对一个web服务器,所以没啥问题。
但是一到了web服务器集群的环境下(我们一般都是用Nginx做负载均衡,若是使用了轮询等这种请求分配策略),就会导致用户小a在A服务器登录了。
session存在于A服务器中,但是第二次请求被分配到了B服务器,由于B服务器中没有用户小a的session会话,导致用户小a还要再登陆一次,以此类推。这样用户体验很不好。
当然解决办法也有很多种,比如同一个用户分配到同一个服务器处理、使用cookie保持用户会话信息等。

我们今天讨论的是用户会话信息集中存储的这种方案。类比之前cookie和session的机制,在请求中根据cookie中的jesessionid来自动找到服务器端的session,从而从session中取出当前用户的会话信息。

3.token机制详解

  • 随机生成全局唯一任意字符串口令: cookie中是根据jesessionid来找到服务器端的session的,jesessionid就是一个全局唯一的随机字符串,我们也可以生成一个全局唯一的字符串比如使用UUID或时间戳加随机字符串的形式;
  • 服务器端的会话信息存储: web服务器在内存中存储所有的session,每个session都有一个唯一的id标识,value就是session本身,session里面又有好多键值对。数据在内存中、key-value形式的、value里面又有好多键值对,这简直就是对redis的哈希表十分准确的描述啊,所以我们可以使用redis的哈希类型来模型服务器端的session。
  • 构造全局字符串与会话信息存储的对应关系

cookie和session机制中是根据cookie中的jesessionid来自动找到服务器端的session,说是自动查找,其实是我们调用了他封装好的方法request.getSession()获取的,这个request中就包含了本次请求的所有信息,而调用的getSession()方法中,肯定做了这件事——获取请求头中cookie的jesessionid的值,根据这个值到服务器的内存中找到对应的session并返回。所以我们也完全可以模仿它这种机制:我们可以在用户第一次请求该web服务器时或是用户登录该web服务器时,生成一个全局唯一的token返回给前端存储,同时将该用户信息存到redis中并设置有效期,之后每次请求中都在请求头中带着这个token,服务器端根据这个token到redis中查找对应的用户信息,即得到了我们所说的
“session”。

五:总结

  • cookie的工作原理是:由服务器产生内容,浏览器收到请求后保存在本地;当浏览器再次访问时,浏览器会自动带上cookie,这样服务器就能通过cookie的内容来判断这个是“谁”了。
    cookie虽然在一定程度上解决了“保持状态”的需求,但是由于cookie本身最大支持4096字节,以及cookie本身保存在客户端,可能被拦截或窃取,因此就需要有一种新的东西,它能支持更多的字节,并且他保存在服务器,有较高的安全性。这就是session。
  • 问题来了,基于http协议的无状态特征,服务器根本就不知道访问者是“谁”。那么上述的cookie就起到桥接的作用。
  • 我们可以给每个客户端的cookie分配一个唯一的id,这样用户在访问时,通过cookie,服务器就知道来的人是“谁”。然后我们再根据不同的cookie的id,在服务器上保存一段时间的私密资料,如“账号密码”等等。
  • 总结而言:cookie弥补了http无状态的不足,让服务器知道来的人是“谁”;但是cookie以文本的形式保存在本地,自身安全性较差;所以我们就通过cookie识别不同的用户,对应的在session里保存私密的信息以及超过4096字节的文本。
  • 而token则解决了当服务器端为web集群服务器时,具有多个服务器的session存储问题,当A服务器存有session,B无session,则客户端访问B还需要重新登陆。所以使用token将用户信息存储在Regis中,并将全局唯一的token发送给客户端,记录在cookie中。解决了session中存在的访问冗余问题
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-11-22 12:42:59  更:2021-11-22 12:43:13 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 7:31:57-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码