• web核心(4)session与cookie及session跨域与session共享


    1.cookie与session的关系

    Session 信息都是放在内存的,第一次创建Session的时候,服务端会在 Cookie 里面记录一个Session ID,以JSESSIONID的方式来保存,以后每次请求把这个会话ID发送到服务器,根据Session ID服务器就知道是谁了,所以session相对是安全的(Session ID可以被劫持与伪造,所以Session ID不能是固定的),倘若Cookie被禁用,那么需要url重写来解决该问题(

    在路径后面自动拼接sessionId)。

    url重写:String path = resp.encodeURL("path")(转发);String path = response.encodeRedirectURL("path")(重定向);

    Session ID防止被劫持

    方式1:每次在接受Session ID后进行销毁,然后将其中的数据保存在新的Session,也不是很可靠,只是相对可靠,可以利用间隙时间劫持

    方式2:设置httpOnly属性,httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat >6.0.19或者>5.5.28的版本才支持httpOnly属性

    使用方法

    <Context useHttpOnly="true"> ... </Context>
    

     或

    response.setHeader( "Set-Cookie", "name=value; HttpOnly");
    

     2. session跨域

    原因:默认session是不能跨域的

    什么是域

    在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。例如百度下的若干的域,如:搜索引擎(www.baidu.com),百度贴吧(tie.baidu.com),百度知道(zhidao.baidu.com),百度地图(map.baidu.com)等。域信息,有时也称为多级域名。域的划分: 以IP,端口,域名,主机名为标准,实现划分。

    什么是跨域

     客户端请求的时候,请求的服务器,不是同一个IP,端口,域名,主机名的时候,都称为跨域。

    什么是session跨域

     Session跨域就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。

    实现方法的原理

    通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session的跨域解决。

    代码实现

    @RequestMapping("/test")
    	public String test(HttpServletRequest request, HttpServletResponse response){
    		//cookieName名
    		String cookieName="custom_global_session_id";
    		String encodeString="UTF-8";
    		//获取cookieName名对应的cookieValue的值
    		String cookieValue = CookieUtils.getCookieValue(request, cookieName, encodeString);
    		//假如为null或者“”,使用UUID随机产生一个32位的随机字符串
    		if(null == cookieValue || "".equals(cookieValue.trim())){
    			System.out.println("无cookie,生成新的cookie数据");
    			cookieValue = UUID.randomUUID().toString();
    		}
    		
    		// 根据cookieValue访问数据存储,获取客户端数据。
    		CookieUtils.setCookie(request, response, cookieName, cookieValue, 0, encodeString);
    		
    		return "/ok.jsp";
    	}
    
     public static String getCookieValue(HttpServletRequest request, String cookieName, String encodeString) {
            Cookie[] cookieList = request.getCookies();
            if (cookieList == null || cookieName == null) {
                return null;
            }
            String retValue = null;
            try {
                for (int i = 0; i < cookieList.length; i++) {
                    if (cookieList[i].getName().equals(cookieName)) {
                        retValue = URLDecoder.decode(cookieList[i].getValue(), encodeString);
                        break;
                    }
                }
            } catch (UnsupportedEncodingException e) {
                e.printStackTrace();
            }
            return retValue;
        }
        public static void setCookie(HttpServletRequest request, HttpServletResponse response, String cookieName,
                                     String cookieValue, int cookieMaxage, String encodeString) {
            doSetCookie(request, response, cookieName, cookieValue, cookieMaxage, encodeString);
        }
        private static final void doSetCookie(HttpServletRequest request, HttpServletResponse response,
                                              String cookieName, String cookieValue, int cookieMaxage, String encodeString) {
            try {
                if (cookieValue == null) {
                    cookieValue = "";
                } else {
                    cookieValue = URLEncoder.encode(cookieValue, encodeString);
                }
                Cookie cookie = new Cookie(cookieName, cookieValue);
                if (cookieMaxage > 0)
                    cookie.setMaxAge(cookieMaxage);
                if (null != request) {// 设置域名的cookie
                    String domainName = getDomainName(request);//获取域名
                    if (!"localhost".equals(domainName)) {
                        cookie.setDomain(domainName);//domain的含义为域
                    }
                }
                cookie.setPath("/");//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie
                response.addCookie(cookie);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        private static final String getDomainName(HttpServletRequest request) {
            String domainName = null;
    
            // 获取完整的请求URL地址。
            String serverName = request.getRequestURL().toString();
            if (serverName == null || serverName.equals("")) {
                domainName = "";
            } else {
                serverName = serverName.toLowerCase();
                if (serverName.startsWith("http://")){
                    serverName = serverName.substring(7);
                } else if (serverName.startsWith("https://")){
                    serverName = serverName.substring(8);
                }
                final int end = serverName.indexOf("/");
                // .test.com  www.test.com.cn/sso.test.com.cn/.test.com.cn  spring.io/xxxx/xxx
                serverName = serverName.substring(0, end);
                final String[] domains = serverName.split("\.");
                int len = domains.length;
                if (len > 3) {
                    domainName = "." + domains[len - 3] + "." + domains[len - 2] + "." + domains[len - 1];
                } else if (len <= 3 && len > 1) {
                    domainName = "." + domains[len - 2] + "." + domains[len - 1];
                } else {
                    domainName = serverName;
                }
            }
    
            if (domainName != null && domainName.indexOf(":") > 0) {
                String[] ary = domainName.split("\:");
                domainName = ary[0];
            }
            return domainName;
        }
    

    备注:

    set-cookie虽然在响应头中存在,但是在跨域的时候出于安全考虑,该头会被浏览器忽略,并不会产生真实的cookie,而Cookie 的domain属性设置域之后,那么子域可以访问父域的cookie,而父域不可以访问子域的cookie可以说cookie的domain访问权限是向下继承的,当然其它域名跨域名访问也是不可以的。注意:倘若将domain设置为com.cn,但是f.com.cn是不会接收domain为com.cn的cookie,domain设置为b.e.f.com.cn或.b.e.f.com.cn没有区别,session是保存在内存中的,由Session ID取值。跨域设计的思想也是子域可以访问父域

     而session共享是通过cookie.setPath("/")设置;//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie

  • 相关阅读:
    请问“javascript:;”是什么意思?
    C++怎么读入非文本文件中的内容
    java 判断数据类型和方法
    Microsoft windows terminal
    webstorm tools window
    What does the dot after dollar sign mean in jQuery when declaring variables?
    File upload with cropping support using Cropper --jquery file upload
    What is httpcontext
    foreach on Request.Files
    jQuery file upload测试
  • 原文地址:https://www.cnblogs.com/gg128/p/9889814.html
Copyright © 2020-2023  润新知