51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 7705|回复: 0
打印 上一主题 下一主题

[原创] 上网应该如何保存登录态?你需要了解的是Session和Cookie的关系

[复制链接]
  • TA的每日心情
    擦汗
    昨天 09:02
  • 签到天数: 1046 天

    连续签到: 4 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2020-11-26 10:54:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1测试积点
    为什么要用Session和Cookie?
      简单一句话,因为Session和Cookie可以记录用户状态信息。
      嘶..这到底啥意思呢?
      动态网页的出现
      什么是静态网页
      ·含义:一个网页的内容是HTML代码编写的,文字、图片等内容均可通过HTML代码指定了
      ·优势:加载速度快,编写简单
      ·劣势:可维护性差,扩展性差,不能根据URL显示不同的内容;例如:在URL传入一个name参数想在网页上显示,静态网页是无法做到的
      ·总结:弊大于利
      动态网页的诞生
      动态网页可以动态解析URL中参数的变化,关联数据库并动态呈现不同的页面内容,非常灵活多变。
      现在遇到的大多数网站都是动态网站,不再是一个简单的HTML页面,可能由JSP、PHP、Python等语言编写的,功能比静态网页强大和丰富太多。
      场景:一个需要登录的动态网站,在登录后需要保持登录状态,以便后续访问网站其他网页;那么我们要通过什么来保存这个登录态呢?
      HTTP是无状态协议
      HTTP无状态是指?
      HTTP协议对事务处理是没有记忆能力,也就是说服务器不知道客户端是什么状态。
      这是什么意思呢?
      当我们向服务器发送请求后,服务器解析处理请求,然后返回响应,服务器负责完成这个过程(也是一个事务),而这个过程是独立的,服务器不会记录前后状态的变化,也就是缺少状态记录。
      无状态导致的后果?
      意味着后续发出的请求需要处理前面请求的响应,则必须重传,这也导致需要额外传递一些前面的重复请求,才能获取后续响应。但为了保持前后状态,我们也不能将前面的请求全部重传一次,这太浪费资源了;就好像如果一个网站每次发出一个请求前都要先发出一次登录请求,这无疑大大增加了资源浪费程度。
      Session和Cookie的诞生

    上图可以看出,Session和Cookie在一个网站中各自发挥的作用。
      实际场景
      1.当我们登录之后,服务端就会创建一个属于当前用户的Session,里面保存的就是当前用户的信息;
      2.然后浏览器会根据服务器的响应头中Set-Cookie字段生成相关Cookie,相当于一个用户凭证;
      3.只需要在下次请求时携带这些Cookie,服务器就能通过Cookie来判断用户是否是登录状态,然后返回对应的响应。
      生动形象理解Cookie和Session的关系
      1.Session是保存在服务器端,Cookie是保存在客户端。
      2.每次用户访问网站的时候,相当于去串门。
      3.用户带着cookie去服务器家,当当当敲门。
      4.服务器问是谁啊?
      5.用户:是我(cookie)啊!
      6.服务器:让我来确认一下(session确认)。
      7.服务器确认完毕后,放用户进门。
      实际网站登录请求的响应头
      1.这是一个网站登录之后返回的响应头,可以看到服务器要求浏览器设置的Cookies有好几个;这就是Cookies的来源,而token一般会作为用户的唯一凭证【登录成功,响应头set-cookies,浏览器设置Cookies】
      2.当浏览器下一次再请求该网站时,浏览器会把这些Cookies放到请求头一起提交到服务器;而Cookies携带了SessionID信息(token)【再次请求,带上Cookies,包含SessionID】
      3.服务器通过SessionID即可找到对应的用户Session信息,然后判断该用户的登录状态【服务器根据SessionID获取用户登录态】
      4.如果Session中某些设置登录状态的变量是有效期内的,证明用户处于登录状态【Session有效,用户已登录】
      5.此时服务器就会返回需要登录之后才可以查看的网页内容,浏览器再进行解析便可以看到了【返回请求响应内容】
      6.当Cookie无效或者Session已过期后,我们再访问网站就需要重新登录了【Cookie无效,Session过期,要再次登录】

     Session和Cookie在登录功能上的协同关系

    Session
      会话,指有始有终的一系列动作/消息;比如:打电话时,从拿起电话,拨号,通话,挂断电话这一系列过程可以称为一个Session。
      实际场景
      ·在Web中,Session对象用来存储特定用户Session所需的属性和配置信息,这样用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户Session中存在下去
      ·当用户请求网页时,该用户还没有Session,则Web服务器将自动创建一个Session对象
      ·当Session过期或被放弃后,服务器将终止该Session
      Cookie
      某些网站为了辨别用户身份,进行Session跟踪而存储在用户本地终端上的数据。
      会话Cookie和持久Cookie
      会话Cookie
      可以将打开浏览器-关闭浏览器理解成一个会话,会话Cookie的有效期仅在浏览器打开期间;而会话Cookie是存在浏览器内存里的。
      实际场景:涉及钱,涉及利益、机密内容的网站一般都是会话Cookie,如企业邮箱等。
      持久Cookie
      持久Cookie是存在客户端本地硬盘中,不受浏览器关闭影响,下次再次访问该网站时还能继续使用,用于长久保持用户登录状态。
      实际场景:可以勾选【自动登录】、【30天内自动登录】的网站用的就是持久Cookie。
      持久Cookie发出请求时,客户端与服务器之间的时序图:

     浏览器中看Cookie

     ·Name:Cookie 的名称。Cookie 一旦创建,名称便不可更改  ·Value:Cookie 的值。如果值为 Unicode 字符,需要为字符编码。如果值为二进制数据,则需要使用 BASE64 编码。
      ·Domain:Cookie注入的域名,如.baidu.com下的Cookie,只要Host以.baidu.com结尾的域名都能访问该Cookie
      ·Path:允许使用该Cookie的路径,一般都为 /
      ·Expires/Max-Age:Cookie失效时间,若没有指定失效时间则默认当浏览器关闭时Cookie失效
      ·Size:Cookie大小
      ·HttpOnly:若True,则不允许脚本来访问该Cookie(如:JS)
      ·Secure:Cookie是否仅被使用安全协议传输,默认为False
      敲重点的知识点
      “只要关闭浏览器,Session 就消失了” --错!
      实际场景:去健身房办理的会员卡,除非你自己要求销卡,不然店家不会随意销掉你的卡。
      所以,对于Session也是一样的,登录的时候服务器帮你生成了一个Session,是不会轻易删除你的Session,除非你自己提出要删除or Session有效期过了;而一般我们会通过【退出】来删除触发服务器删除Session。
      当我们关闭浏览器时,浏览器是不会通知服务器说它要关闭,所以服务器根本不知道浏览器已关闭,造成这样的误解全都是因为:
      1.一般情况下,网站都会用Cookie来保存SessionID信息的。
      2.当你的Cookie是会话Cookie时,关闭浏览器Cookie就会消失。
      3.再次打开网站也找不回之前的那个Cookie对应的SessionID。
      4.所以无法通过原来的SessionID在服务器查找对应用户的登录状态,只能重新登录生成新的Cookie来记录新的SessionID。
      如何解决?
      就是将Cookie设置为持久Cookie,当你关闭浏览器再打开网站时,还是能从本地读取到Cookie,从而获取到原来的SessionID,以此来保持登录状态。
      另外
      而恰恰因为关闭浏览器并不会让服务器主动删除Session,为了避免服务器的资源浪费,一般服务器都会为每个Session设置一个失效时间,当Session的时间超过失效时间时,服务器会自动删除Session。

    附件: 您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-15 00:34 , Processed in 0.063808 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表