文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

状态管理小能手:Cookie 和 Session

2024-11-30 07:24

关注

假期抢票的尴尬事件

最近小❤在抢出行的高铁票时,发生了一件尴尬的事情。

这不是临近中秋和国庆假期了嘛,按以往经验,抢票应该比较难。于是我通过渠道找了一牛子哥,帮忙抢票,抢票时间在第二天早上 9 点。

好巧不巧,第二天 8点多的时候正好打开了手机,就想着上 12306 去看看票。

输手机号,拿验证码,登录,一气呵成!

结果,到 9 点多的时候牛子哥给我说抢票失败了!原因竟然是中途账号被顶了,而 12306 一个账号同一时间只能让一部手机登录。

啊这?!

我还以为牛子哥用了什么高端渠道,或者是神奇 App,原来...

于是,我就趁此机会复习一下 12306 的登录机制,便有了这篇文章!

设备限制的底层逻辑

如今,网站或者手机应用限制登录设备个数已经屡见不鲜了。

不管是限制登录个数,还是保持登录状态,都和网络交互的 HTTP 协议,以及客户端和服务端的 Cookie、Session 技术息息相关。

虽然咱每天都在与它们打交道,但你是否真的理解它们的原理和使用方式呢?接下来,让我们一起来揭开它们的神秘面纱吧!

二、产生背景

我们都知道,HTTP 是一个无状态协议。

无状态是指服务端不会跟踪和记录请求,即对请求处理没有记忆能力,这意味着每个请求都是独立的。

它的优缺点分别是:

想象一下,每次在手机上切换应用,或者把应用收到后台就需要我们重新登录一次,那也太恶心了。

一般应用或者网站都会有这种登录状态:

所以,我们对登录功能的诉求是:

除此之外,在一些其它 Web 交互场景下也需要记住状态,比如:

于是,两种用于保持 HTTP 连接状态的技术应运而生,分别是 Cookie 和 Session。

三、Session:身份的标识符

Session,就像你的身份证一样,是一种在服务器和客户端之间传递身份信息的方式。

用户登录生成 Session 的时序图如下:

当你登录一个网站时,服务器会生成一个唯一的 SessionID,并将它存储在服务器端,然后将这个 ID 发送到你的浏览器,通常以 Cookie 的形式。

Postman 请求登录接口,响应如下:

postman请求登录接口

这个 SessionID 就像是你的通行证,每当你访问需要登录的页面时,浏览器都会将它发送给服务器。

服务器通过这个 ID 来识别你,就像保安看到你的身份证一样。

四、Cookie:保持记忆

Cookie 是一个小小的文本文件,它被存储在你的浏览器中。

正如 Cookie 本身的含义,它就像一个小甜点,作用是让服务器能够在不同的 HTTP 请求之间"记住"你。

当你登录一个网站时,服务器已经将一些信息存储在 Cookie 中,比如你的用户名或一些用户首选项。

然后,每当你再次访问这个网站时,浏览器都会将这些信息发送给服务器,这样服务器就能够"认识"你,而不需要你重新登录。

用户通过 Cookie 与应用交互的时序图如下:

通过将 SessionId 放在缓存里,每次用户交互时只要带上 Cookie,应用层就可以解析出对应的 SessionId,验证用户的身份,获取用户信息。

Postman 交互如下:

postman调用业务接口

有时,为了信息隐私,我们可以在浏览器设置不记录 Cookie。

但是,这样我们每次在页面交互时都需要重新登录,体验就会比较差。

五、Session与 Cookie 的关系

PS:这个是 Web 和后台开发面试的常考题,赶快拿小本本记下来 😄

联系

如上所示,Session 和 Cookie 之间有着密切的关系。

通常,服务器会将 SessionId 存储在一个 Cookie 中,并将它发送给你的浏览器或其它设备。

然后,浏览器在每次请求中都会自动包含这个 Cookie,这样服务器就能够识别你的 SessionId,从而知道你是谁。

所以,你可以将 Session 看作是服务器的身份验证标识,而 Cookie 则是浏览器/用户设备的记忆工具,用于保存一些有关你的信息。

区别

那么,Session和 Cookie 有什么不同呢?

(1) 访问机制

Cookie 通过检查客户端的用户“通行证”来确定用户身份,Session 检查服务器的“客户档案表”来确认用户状态。

(2) 安全程度

不法分子可能会分析存放在本地的 Cookie 进行 Cookie 欺骗,而 Session 是有人登陆或者启动某个会话时才会产生,且 Session 是加密和定时失效的,所以 Session 安全系数更高。

(3) 会话机制

简单来说,Session 的隐私度更高,因为它的数据存储在服务器端,用户无法直接修改。

而 Cookie 存储在用户的浏览器中,用户可以看到和修改它们的内容,所以不适合存储敏感信息。

使用场景方面,Session 通常用于存储用户的登录状态和其他敏感信息,而 Cookie 可以用于存储一些用户首选项或跟踪用户的行为,比如购物车中的商品。

六、小结

登录设备限制

明白了 Cookie 和 Session 的底层逻辑,限制设备的登录个数是不是就很简单了。

我们只需要在登录时,根据账号密码,记录一下当前设备已有的 Session 数量,就可以控制登录设备的个数了。

如果要根据客户端类型去限制,比如可以允许电脑和手机同时在线,我们就可以在登录时记录用户的设备类型,以此控制每一种设备类型只能有一个 Session。

更进一步,如果基于安全考虑,我们可以在登录时记录用户的设备 Id。

比如手机在通话框输入 *#06#,就可以拿到手机的唯一标识码 IMEA

每次用户用新设备登录时,需要先通过手机号或人脸验证,再记录设备的 IMEA 码,以此来保证登录设备的可靠性。

结语

Session 与 Cookie 是构建现代网站的重要组成部分。它们为用户提供了方便的登录和个性化体验,同时也保障了用户的隐私和安全。

通过深入理解这两者的原理和用法,我们可以更好地构建安全、高效的网络应用程序。

希望这篇文章让你对 Session与 Cookie 有了更清晰的认识,如果大家有任何问题或想要了解更多,请随时留言。

来源:xin猿意码内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯