2. 程式人生 > >Cookie和Session在Node.JS中的實踐(二)

Cookie和Session在Node.JS中的實踐(二)

阿新 發佈:2018-09-25
快速理解 開發工具 ren 發揮 超過 see 技術點 用戶 img

Cookie和Session在Node.JS中的實踐(二)

cookie篇在作者的上一篇文章Cookie和Session在Node.JS中的實踐(一)已經是寫得算是比較詳細了,有興趣可以翻看,這篇是session篇,重點在討論seesion的特性、概念,以及session和cookie的區別和聯系。

之前有人問我,這個問題有必要長篇大論的探討嗎?其實只要我覺得這個技術點重要而且具有迷惑性,就值得去寫、去探討,否則你很難完全明白。寫這種文章有兩個好處:

  1. 首先,於作者而言,寫出來文章讓大家一起理解某個技術這本身就是一種考驗,如果作者的觀點、看法是正確的那麽這樣能加深作者自己對技術點的理解;如果錯了,明眼人會指出錯誤,一起討論、理解。
  2. 再者,於讀者而言,作者覺得只要讀者能從文章中獲得新的知識,那這篇文章的價值也就發揮出來了。作者也經常去看別人寫的文章,通過別人的見解,可以快速理解某個技術。

如果想聰明,請犯錯。
如果不成功,那就再試一試。——《一萬小時天才理論》

session

COOKIE存在於客戶端,而SESSION存在於服務端,並且SESSION需要COOKIE的支持。
技術分享圖片

session是存在於服務端的信息管理機制,它把客戶端信息以某種信息形式記錄在服務器中,客戶端再次訪問只需要從session中查找用戶的狀態就可以了

session運行機制

session的運行機制是這樣的,當程序需要為某個客戶端的請求創建一個seesion時,服務器會首先檢查這個客戶端的請求中的cookie是否含有session標識符(很多人把他叫session_id)。

考慮兩種檢查結果:
1.包含並且沒有過期,則表示服務器已經對這個客戶端創建了session,而服務器只需按照session_id把session檢索出來使用。

技術分享圖片

2.不包含或已過期,則需要新創建一個session並且生成與這個session相關聯的session_id返回給客戶端保存。

技術分享圖片

session存在的必要性

session存在的必要性,很少文章談到這個,作者一開始一直都在想這個問題:

使用純客戶端中的cookie就能完成會話保持,為什麽需要服務端的session?

先來看這個例子:在一個瀏覽器中登錄博客園,通過開發工具獲得了cookie並復制,在另一個瀏覽器中打開博客園(退出登錄狀態下),然後把復制好的cookie都填入該瀏覽器中,刷新,你會發現這個瀏覽器居然是已經是登錄狀態了。(作者親測例子,讀者自行測試具體截圖不放了,若操作有問題評論區解決)

只要盜取了cookie,就能劫持session。同樣的道理,如果單使用cookie,那麽也是一樣只要盜取了cookie就能做到冒充登錄。既然盜取了cookie,無論是session還是cookie都一樣會被冒充,那為什麽需要session呢?

作者為了明白這個問題,花了很多時間才弄明白,沒文化真闊怕。其實session存在的必要性可以從以下幾點說明:
1.用session只需要在客戶端保存一個id,實際上大量數據都是保存在服務端。如果全部用cookie,數據量大的時候客戶端是沒有那麽多空間的。
2.cookie只是實現session的其中一種方案。雖然是最常用的,但並不是唯一的方法。還有URL等其他方式
3.全部在客戶端保存,服務端無法驗證,這樣偽造和仿冒會更加容易。(偽造一個隨機的id很難,但偽造另一個用戶名是很容易的)
4.全部保存在客戶端,那麽一旦被劫持,全部信息都會泄露
5.客戶端數據量變大,網絡傳輸的數據量也會變大

其實,在當下的開發中,都是結合二者使用的。

總結

COOKIE存在於客戶端,而SESSION存在於服務端,並且SESSION需要COOKIE的支持。session是存在於服務端的信息管理機制,它把客戶端信息以某種信息形式記錄在服務器中,客戶端再次訪問只需要從session中查找用戶的狀態就可以了

session和cookie間的區別和聯系:

  1. 最大的區別,session在服務端,cookie在客戶端。
  2. 最大的聯系,session需要cookie,完成一個會話需要兩者結合。
  3. session比cookie要更安全。
  4. 單cookie數據不能超過4K,另外瀏覽器可能會限制單個站點的cookie數量。而session在服務端沒有此類限制。

考慮到後面會使用NODE.JS作為寫session和cookie的實踐,所以把文章分成3部分最好——cookie篇、session篇、NODE.JS實踐篇。這樣,讀者可以按需去看,寫NODE.JS可以看我下一篇的文章,不會NODE的可以跳過了。
下次,NODE.JS見。

如果您覺得閱讀本文對您有幫助,請點一下“推薦”按鈕,您的“推薦”將是我最大的寫作動力!

Reference

  1. https://blog.csdn.net/fangaoxin/article/details/6952954
  2. http://blog.51yip.com/php/938.html
  3. https://www.cnblogs.com/shiyangxt/articles/1305506.html

Cookie和Session在Node.JS中的實踐(二)

相關推薦

CookieSession在Node.JS實踐

快速理解 開發工具 ren 發揮 超過 see 技術點 用戶 img Cookie和Session在Node.JS中的實踐(二) cookie篇在作者的上一篇文章Cookie和Session在Node.JS中的實踐(一)已經是寫得算是比較詳細了,有興趣可以翻看,這篇是ses

關於JS變量提升的規則原理的一點理解

cnblogs 打印 blog javascrip 誤區 down mark fun ont 上篇文章中講到變量提升和函數提升的先後順序時蒙了,後來去查了一下資料,特別整理一下。 在《你不知道的JavaScript(上卷)》一書的第40頁中寫到:函數會首先被提升,然後才是變

linux進程計劃任務的管理命令補充

blob 情況 tro 緩沖 9.png 命令 計劃 時間 image Ps命令:查看靜態的進程統計信息 Ps :不帶任何參數將只顯示當前用戶會話中打開的進程、Ps aux :將以簡單列表的形式顯示出所有進程信息註釋:User:啟動該進程的用戶賬號的名稱Pid:該進程在系

ajax post 請求 get 請求的區別

get 請求 1、傳遞資料方式: 資料直接在post 的 url 中傳遞,直接拼接在 url ? 後面,多個數據用 & 符號拼接 xhr.open('get ‘, 2.get.php?username = Tom & age = 30&’)

a標籤跳頁傳參,以及擷取URL引數 js 編碼encode解碼decode的三種方法

<a href="dd.index?aa=1&&bb=2"></a> //擷取URL引數 // console.log(window.location.search); function GetQueryString(name) { var reg = new Re

js 編碼encode解碼decode的三種方法

s對文字進行編碼涉及3個函式:escape,encodeURI,encodeURIComponent,相應3個解碼函式:unescape,decodeURI,decodeURIComponent 下面簡單介紹一下它們的區別 1 escape()函式 定義和用法

tensorflow實踐 基本原理學習框架使用

Tensorflow 是google大腦小組的工程師們開發的用於機器學習和深度神經網路方面的研究,它通過一個數據流圖來進行計算。[本文是對Tensorflow社群資料進行學習和實踐,其中文社群還是很

深度學習在目標檢測的應用及其tensorflowAPI實踐

這系列文章的內容目錄如下: 目標檢測的任務 深度學習在目標檢測中的應用 RCNN fast RCNN faster RCNN RFCN yolo yolo V2 SSD tensorflow目標檢測API的使用 在第一篇裡說完了RCNN和fast RC

分散式定時任務Elastic-Job框架在SpringBoot工程的應用實踐

文章摘要:在生產環境中部署Elastic-Job集群后,那麼如何來運維監控線上跑著的定時任務呢? 如果在生產環境的大規模伺服器叢集上部署了整合Elastic-Job的業務工程,而沒有相應的運維監控工具可以來監控定時任務執行狀態和動態修改定時任務執行時間,修改相應的配置還得手動

js陣列array物件object的區別

object 型別: 建立方式: /*new 操作符後面Object建構函式*/ var person = new Object(); person.name = "lpove"; pers

zookeeper實踐 偽分散式部署配置

最近在自己的虛擬機器上測試kafka,涉及到zookeeper,因此對zookeeper進行一些學習。 kafka有自帶的zookeeper,但是自帶的zookeeper配置檔案非常簡單。 本文以獨立的zookeeper作為配置的軟體。 1、目標:  在自己工作機上的虛擬機

在Android訪問內建SE基於SE的卡模擬

改變SE工作模式 在NfcAdapterExtras類中,有兩個關於卡模擬的函式,getCardEmulationRoute和setCardEmulationRoute,分別用於得到和設定卡模擬工作模式,其中getCardEmulationRoute返回一個CardEmul

js簡單演算法如何去除一個數組與另一個數組的值相同的元素

codewars上面6kyu的演算法題,下面是演算法題的英文簡介 Your goal in this kata is to implement an difference function, which subtracts one list from another. I

Linux訊號程式設計實踐 訊號傳送函式可重入函式

    在早期的UNIX中訊號是不可靠的,不可靠在這裡指的是:訊號可能丟失,一個訊號發生了,但程序卻可能一直不知道這一點。 現在Linux 在SIGRTMIN實時訊號之前的都叫不可靠訊號,這裡的不可靠主要是不支援訊號佇列,就是當多個訊號發生在程序中的時候(收到訊號的

jqueryappend、prepend, beforeafter方法的區別

1.append()與after() 這兩個都是在元素的後面插入內容,不同的是前者是在元素內部插入(作為該元素的子元素),後者是在元素外部插入(作為該元素的兄弟元素);但是這裡我要講的是,當用表單驗證中用到這兩個方法時的區別:append()比較正常;而after()則會沒

Elasticsearch實踐在Springboot微服務整合搜尋服務

關於如何用Docker搭建Elasticsearch叢集環境可以參考前一篇:Elasticsearch實踐(一)用Docker搭建Elasticsearch叢集。本文主要介紹,如果在Springboot體系中整合Elasticsearch服務。本文基於:Elas

Hadoop實踐---叢集開發環境搭建Intellij IDEA & Maven 開發Hadoop

1. 開發環境準備 1. Hadoop叢集安裝 2. Maven安裝 3. Intellij IDEA安裝 2. 建立專案 1. 建立Maven專案 2. 輸入GroupId 和 ArtifactId 新建專案後有提示

Linux程序理解與實踐殭屍&孤兒程序 檔案共享

孤兒程序與殭屍程序 孤兒程序:    如果父程序先退出,子程序還沒退出那麼子程序的父程序將變為init程序。(注:任何一個程序都必須有父程序) #include <stdio.h> #include <stdlib.h> #include <

ZABBIX實踐 centos下的Agent端部署安裝

首先重複一下前面的規劃 server端:  192.168.136.144    centos6.5 (虛擬機器) agent端:    192.168.136.155    centos6.5

Android的IntentIntent-Filter詳解

 Data、Type屬性與intent-filter配置 Data屬性接收一個Uri物件作為其值,Uri物件類似於“content://com.android.contacts/contacts/#”,關於Uri的相關知識大家可以自行搜尋。 Data屬性通常