單點登錄與權限管理本質:session和cookie介紹
本篇文章介紹下session和cookie,它是登錄實現的基礎,主要從下面幾個方面介紹:
- session和cookie基本概念
- session的生命周期
- cookie的作用域
cookie的跨域問題會在後續文章單獨介紹。
基本概念
大部分系統都需要識別用戶的身份,有些功能只有特定的用戶能使用,有些功能需要根據用戶身份顯示不同的內容,一般使用唯一編號標識用戶的身份。
就像我們的×××,×××號是每個人唯一的,根據所在的省市區、出生年月、性別等規則生成,我們去政府機構辦事時,都需要帶著×××,他們通過×××驗證我們的身份。
session和cookie主要用來識別登錄者身份的,默認通過JSESSIONID唯一編號進行驗證。session是在服務端保存的一個數據結構,用來跟蹤用戶的狀態,也可以保存用戶相關的一些數據,可以保存在內存、緩存、數據庫等存儲結構中。cookie是客戶端保存用戶信息的一種機制。
servlet session
javax.servlet.http包中是session的主要API接口,主要有以下幾種接口:
- HttpSession:實際的session接口定義;
- Listener:session發生一些動作,如創建,設置屬性,失效等,會觸發一些事件,進行相應的處理;
- Event:當動作觸發之後,封裝為對應的事件;
session相關的接口,一般由應用服務器來實現,比如Tomcat、Resin、Jetty。Session的主要特征:
- 可以設置和獲取一些屬性;
- 每個session對應一個編號sessionId,是一次會話的唯一表示;
- session有超時時間,用戶長時間無操作,維護的定時器會清除session,保證資源及時釋放;
- 可以通過調用invalidate方法主動清除session;
在tomcat中,HttpSession的實現是StandardSession,同時StandardSession會實現自定義的Session接口,它是對HttpSesion一個包裝。
另外,tomcat會實現session的管理和持久化,可隨時獲取到對應的session,具體實現不在本篇分析,網上有很多文章介紹。
cookie
cookie是客戶端的解決方案,是服務器發給客戶端的特殊信息,這些信息以文本文件的方式存放在客戶端,後續請求,客戶端都會帶上這些特殊的信息。
服務端通過HTTPResponse設置cookie到響應頭,發送到客戶端,後續客戶端自動將cookie信息設置到請求頭。下面是我登錄百度後的cookie信息:
cookie也有失效時間,可在服務端通過cookie.setMaxAge(expiry)進行設置,expiry=-1:代表瀏覽器關閉後,cookie就失效了;expiry>0:代表會將cookie保存到硬盤中,直到設置時間過期才會被瀏覽器自動刪除;expiry=0:刪除cookie,cookie都會被瀏覽器給刪除。
另外還有其他幾個特性:
- setDomain:設置cookie範圍,後面會詳細介紹;
- isHttpOnly:是否只是http協議使用。只能在後端通過getCookies()獲取,js不能獲取;
- 每一個cookie文件大小:4kb , 如果超過4kb瀏覽器不識別;
- cookie不安全,可能泄露用戶信息,瀏覽器支持禁用cookie操作;
- 臨時session:默認生命周期,當瀏覽器關閉時cookie銷毀的;
交互過程
- 使用瀏覽器訪問服務端頁面;
- 服務端收到該客戶端第一次請求後,會創建一個session,生產一個唯一sessionId;
- 同時在響應請求中設置cookie,屬性名為jessionid;
- 客戶端收到後會保存jessionid,再次請求時,會在header中設置,服務端可從請求頭中獲取;
- 服務端驗證獲取的sessionId是否存在,即可驗證是否是同一用戶;
當瀏覽器禁用cookie後,基於cookie的session將不能正常工作,每次都將創建一個新的session,可通過url重寫傳遞jsessionid。
session的生命周期
session存儲在服務器端,session在用戶第一次訪問時創建,訪問jsp、servlet等程序時才會創建Session,只訪問html、image等靜態資源並不會創建,可調用request.getSession(true)強制生成Session。
服務器會把長時間沒有活動的Session從內存中清除,tomcat中session的默認失效時間為20分鐘,可調用調用session的invalidate方法強制清楚。
另外,我們可以自己實現session生命周期的管理,以滿足特定的業務需求,比如後續要講的單點登錄、分布式session等,tomcat可提供了相應擴展,後續文章會介紹。
cookie的作用域
創建cookie時,需要設置domain,有多級域名時,可以控制cookie的作用域。如果網站請求量很大,設置的cookie作用域不當,會浪費很多流量。
下面舉例說明,比如有三級域名support.kefu.mi.com,其中,mi.com是一級域名,kefu.mi.com是二級域名。
在3類域名下進行cookie設置,分別設置不同的domain,看看訪問各級域名時cookie的有效性。當domain設置為空時,domain默認為當前域名。
在一級域名mi.com下設置cookie
| domain參數 | 訪問一級 | 訪問二級 | 訪問三級 |
|---|---|---|---|
| 空 | √ | √ | √ |
| mi.com | √ | √ | √ |
| kefu.mi.com | × | × | × |
| mcc.kefu.mi.com | × | × | × |
當domain為一級域名時,一級域名、包括其下的子域名都可以接收到cookie。但是domain參數設置其子域名時,所有域名就接收不到了,包括那個子域名。
在二級域名kefu.mi.com下設置cookie
| domain參數 | 訪問一級 | 訪問二級 | 訪問三級 |
|---|---|---|---|
| 空 | × | √ | √ |
| mi.com | √ | √ | √ |
| kefu.mi.com | × | √ | √ |
| mcc.kefu.mi.com | × | × | × |
當domain為自身域名時,其父域名無法接收到cookie,其本身與其子域名可以接收到cookie。而設置其子域名或其他域名時,所有域名都接收不到cookie。
在三級域名mcc.kefu.mi.com下設置cookie
| domain參數 | 訪問一級 | 訪問二級 | 訪問三級 |
|---|---|---|---|
| 空 | × | × | √ |
| mi.com | √ | √ | √ |
| kefu.mi.com | × | √ | √ |
| mcc.kefu.mi.com | × | × | √ |
可以得出結論:domain參數可以設置父域名以及自身,但不能設置其它域名,包括子域名,否則cookie不起作用。
單點登錄與權限管理本質:session和cookie介紹