• HTTP协议之Session和Cookie


    严格的说,Session和Cookie并不是http协议的一部分。由于HTTP协议设计原则是无状态的,但是近年来出现了种种需求,其中cookie的作用就是为了解决HTTP协议无状态的缺陷所作出的努力。后来出现的session机制则是又一种在客户端与服务器之间保持状态的解决方案。 
    具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上它还有其他选择。 
    Session是可以存储针对与某一个用户的浏览器以及通过其当前窗口打开的任何窗口具有针对性的用户信息存储机制。 

    1. Session的使用
    当浏览网站时,客户端会发出一个指令请求SESSIONID以及对各个类型数据的下载许可,如图片,声音以及FLASH 
    当为某个客户端的请求创建一个session的时候,首先检查这个客户端的请求里是否包含一个session标识(sessionid),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用。如果客户端请求不包含,则为创建一个session并且生成一个与此session相关联的session id,session id的值是一个既不会重复,又不容易被找到规律以仿造的字符串。 


    数据格式如下:
    GET / HTTP/1.1 
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* 
    Accept-Language0: zh-cn 
    Accept-Encoding: gzip, deflate 
    User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
    Host:www.wantsoft.com 
    Connection: Keep-Alive 

     

    TTP Request一般由3部分组成:

    (1)Request Line

    这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。

    例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1

    GET http://www.google.com/search?q=Tomcat HTTP/1.1

    POST http://www.google.com/search HTTP/1.1

    GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1

     

    (2)Request Headers

    这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如:

    User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)

    Accept-Language: en-us

    Cookie: jsessionid=1001

     

    (3)Message Body

    如果HTTP Method是GET,那么Message Body为空。

    如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,

    那么Message Body为HTML Form里面定义的Input属性。例如,

    user=guest

    password=guest

    jsessionid=1001

    主意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于

    http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001

     

    从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。

     

     

    一般用来实现Session的方法有两种:

    (1)URL重写。

    Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。

    下一次,用户访问这个页面中的URLjsessionid就会传回到Web Server。

    2. COOKIE

    保存session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。cookie的命名方式类似于SEEESIONID
    有时cookie被人为的禁止,所以出现了其他机制以便在cookie被禁止时仍然能够把session id传递回服务器

    果客户端支持CookieWeb Server在返回Response的时候,在ResponseHeader部分,加入一个“set-cookie: jsessionid=XXXXheader属性,把jsessionid放在Cookie里传到客户端。

    客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。

    这种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为http://www.wantsoft.com/index.asp;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 
    另一种是作为查询字符串附加在URL后面,表现形式为http://www.wantsoft.com/index?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 

    当设置COOKIE的时候,服务器会反馈给客户端浏览器一条响应。浏览器据此生成COOKIE并存放,在下次访问这个站点并且COOKIE未失效时可以使用这个信息。 
    当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,因为他可以保留相当长的时间(COOKIE记录被删除或者失效日期之前

    SESSION就不可以,他不会保留太长时间,而且IE在关闭后就自动清除了SESSIONID记录 

    Response.Cookies("userName").Value = "mike"
    Response.Cookies(
    "userName").Expires = DateTime.Now.AddDays(1

    Dim aCookie As New HttpCookie("lastVisit")
    aCookie.Value 
    = DateTime.Now.ToString
    aCookie.Expires 
    = DateTime.Now.AddDays(1)

    Response.Cookies.Add(aCookie)  

  • 相关阅读:
    dubbo 学习
    JSTL 实现 为Select赋多个值
    Spring MVC 单元测试Demo
    IDEA git commit push revert
    高并发处理
    Redis Expire TTL命令
    Redis 原子操作INCR
    Redis 安装
    慢日志查询
    angularJs 处理多选框(checkbox)
  • 原文地址:https://www.cnblogs.com/jfliuyun/p/1516034.html
Copyright © 2020-2023  润新知