Cookie/Session/Token 還傻傻分不清?
時(shí)間:2021-09-30 14:08:50
手機(jī)看文章
掃描二維碼
隨時(shí)隨地手機(jī)看文章
[導(dǎo)讀]大家好,我是小林。昨晚抱了下家里的小弟,養(yǎng)快1年啦,?越來越胖了,單手快抱不動(dòng)了。小弟這大眼睛怪可愛的,滿滿的求知欲望!今天給大家分享cookie、session、token的那些事兒。這是我的一個(gè)讀者朋友面試微信的實(shí)習(xí)崗位時(shí)遇到的,在此和大家分享一下。話不多說,直接開車。1.網(wǎng)...
大家好,我是小林。
=
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry
客戶端對該服務(wù)器發(fā)起的每一次新請求,瀏覽器都會(huì)將之前保存的Cookie信息通過 Cookie 請求頭部再發(fā)送給服務(wù)器。
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry
我來訪問下淘寶網(wǎng),抓個(gè)包看看這個(gè)真實(shí)的過程:
1. 網(wǎng)站交互體驗(yàn)升級
作為網(wǎng)友的我們,每天都會(huì)使用瀏覽器來逛各種網(wǎng)站,來滿足日常的工作生活需求。
1.1 無狀態(tài)的http協(xié)議
無狀態(tài)的http協(xié)議是什么鬼?
1.2 解決之道
整個(gè)事情交互的雙方只有客戶端和服務(wù)端,所以必然要在這兩個(gè)當(dāng)事者身上下手。
-
客戶端來買單
客戶端每次請求時(shí)把自己必要的信息封裝發(fā)送給服務(wù)端,服務(wù)端查收處理一下就行。
-
服務(wù)端來買單
客戶端第一次請求之后,服務(wù)端就開始做記錄,然后客戶端在后續(xù)請求中只需要將最基本最少的信息發(fā)過來就行,不需要太多信息了。
2.Cookie方案
Cookie總是保存在客戶端中,按在客戶端中的存儲(chǔ)位置,可分為內(nèi)存Cookie和硬盤Cookie,內(nèi)存Cookie由瀏覽器維護(hù),保存在內(nèi)存中,瀏覽器關(guān)閉后就消失了,其存在時(shí)間是短暫的,硬盤Cookie保存在硬盤里,有一個(gè)過期時(shí)間,除非用戶手工清理或到了過期時(shí)間,硬盤Cookie不會(huì)被刪除,其存在時(shí)間是長期的。
2.1 Cookie定義和作用
HTTP Cookie(也叫 Web Cookie 或?yàn)g覽器 Cookie)是服務(wù)器發(fā)送到用戶瀏覽器并保存在本地的一小塊數(shù)據(jù),它會(huì)在瀏覽器下次向同一服務(wù)器再發(fā)起請求時(shí)被攜帶并發(fā)送到服務(wù)器上。
- 會(huì)話狀態(tài)管理(如用戶登錄狀態(tài)、購物車等其它需要記錄的信息)
- 個(gè)性化設(shè)置(如用戶自定義設(shè)置、主題等)
- 瀏覽器行為跟蹤(如跟蹤分析用戶行為等)
2.2 服務(wù)端創(chuàng)建Cookie
當(dāng)服務(wù)器收到 HTTP 請求時(shí),服務(wù)器可以在響應(yīng)頭里面添加一個(gè) Set-Cookie 選項(xiàng)。
2.3 B/S的Cookie交互
服務(wù)器使用 Set-Cookie 響應(yīng)頭部向用戶瀏覽器發(fā)送 Cookie信息。
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry
客戶端對該服務(wù)器發(fā)起的每一次新請求,瀏覽器都會(huì)將之前保存的Cookie信息通過 Cookie 請求頭部再發(fā)送給服務(wù)器。
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry
我來訪問下淘寶網(wǎng),抓個(gè)包看看這個(gè)真實(shí)的過程:
2.4 存在的問題
Cookie 常用來標(biāo)記用戶或授權(quán)會(huì)話,被瀏覽器發(fā)出之后可能被劫持,被用于非法行為,可能導(dǎo)致授權(quán)用戶的會(huì)話受到攻擊,因此存在安全問題。
跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨網(wǎng)站腳本(XSS)相比,XSS 利用的是用戶對指定網(wǎng)站的信任,CSRF 利用的是網(wǎng)站對用戶網(wǎng)頁瀏覽器的信任。
跨站請求攻擊,簡單地說,是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個(gè)自己曾經(jīng)認(rèn)證過的網(wǎng)站并運(yùn)行一些操作(如發(fā)郵件,發(fā)消息,甚至財(cái)產(chǎn)操作如轉(zhuǎn)賬和購買商品)。不過這種情況有很多解決方法,特別對于銀行這類金融性質(zhì)的站點(diǎn),用戶的任何敏感操作都需要確認(rèn),并且敏感信息的 Cookie 只能擁有較短的生命周期。
由于瀏覽器曾經(jīng)認(rèn)證過,所以被訪問的網(wǎng)站會(huì)認(rèn)為是真正的用戶操作而去運(yùn)行。這利用了web中用戶身份驗(yàn)證的一個(gè)漏洞:簡單的身份驗(yàn)證只能保證請求發(fā)自某個(gè)用戶的瀏覽器,卻不能保證請求本身是用戶自愿發(fā)出的。
3. Session方案
3.1 Session機(jī)制的概念
如果說Cookie是客戶端行為,那么Session就是服務(wù)端行為。
3.2 簡單的交互流程
-
當(dāng)客戶端第一次請求session對象時(shí)候,服務(wù)器會(huì)為客戶端創(chuàng)建一個(gè)session,并將通過特殊算法算出一個(gè)session的ID,用來標(biāo)識該session對象。
-
當(dāng)瀏覽器下次請求別的資源的時(shí)候,瀏覽器會(huì)將sessionID放置到請求頭中,服務(wù)器接收到請求后解析得到sessionID,服務(wù)器找到該id的session來確定請求方的身份和一些上下文信息。
3.3 Session的實(shí)現(xiàn)方式
首先明確一點(diǎn),Session和Cookie沒有直接的關(guān)系,可以認(rèn)為Cookie只是實(shí)現(xiàn)Session機(jī)制的一種方法途徑而已,沒有Cookie還可以用別的方法。
Session和Cookie的關(guān)系就像加班和加班費(fèi)的關(guān)系,看似關(guān)系很密切,實(shí)際上沒啥關(guān)系。session的實(shí)現(xiàn)主要兩種方式:cookie與url重寫,而cookie是首選方式,因?yàn)楦鞣N現(xiàn)代瀏覽器都默認(rèn)開通cookie功能,但是每種瀏覽器也都有允許cookie失效的設(shè)置,因此對于Session機(jī)制來說還需要一個(gè)備胎。