HTTP session
目录
- `HTTP Session`
- `定义`
- `工作原理`
- `安全性`
- `超时和失效`
- `用途`
- `实验测试 session`
HTTP Session
定义
HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
工作原理
当用户首次访问网站时,服务器会为用户创建一个唯一的 Session ID,并通过Cookie 将其发送到客户端。
客户端在之后的请求中会携带这个 Session ID,服务器通过 Session ID 来识别用户,从而获取用户的会话信息。
服务器通常会将 Session 信息存储在内存、数据库或缓存中。
安全性
与 Cookie 相似,由于 Session ID 是在客户端和服务器之间传递的,因此也存在被窃取的风险。
但是一般虽然 Cookie 被盗取了,但是用户只泄漏了一个 Session ID,私密信息暂时没有被泄露的风险,Session ID 便于服务端进行客户端有效性的管理,比如异地登录。可以通过 HTTPS 和设置合适的 Cookie 属性(如 HttpOnly 和 Secure)来增强安全性。
超时和失效
Session 可以设置超时时间,当超过这个时间后,Session 会自动失效。
服务器也可以主动使 Session 失效,例如当用户登出时。
用途
- 用户认证和会话管理
- 存储用户的临时数据(如购物车内容)
- 实现分布式系统的会话共享(通过将会话数据存储在共享数据库或缓存中)
实验测试 session
Session测试关键代码:
// 查找cookiestd::string prefix = "Cookie: "; // 写入: Set-Cookie: sessionid=1234 提交: Cookie: sessionid=1234for (auto &line : _req_header){std::string cookie;if (strncmp(line.c_str(), prefix.c_str(), prefix.size()) == 0) // 找到了{cookie = line.substr(prefix.size()); // 截取"Cookie: "之后的就行了_cookies.emplace_back(cookie);break;}}// 查找sessionid sessionid=1234prefix = "sessionid=";for (const auto &cookie : _cookies){if (strncmp(cookie.c_str(), prefix.c_str(), prefix.size()) == 0){_sessionid = cookie.substr(prefix.size()); // 截取"sessionid="之后的就行了}}}std::string SessionId(){return _sessionid;}// 下面的代码就用来测试,如果你想更优雅,可以回调出去处理static int number = 0;if (req.Url() == "/login") // 用/login path向指定浏览器写入sessionid,并在服务器维护对应的session对象{std::string sessionid = req.SessionId();if (sessionid.empty()) // 说明历史没有登陆过{std::string user = "user-" + std::to_string(number++);session_ptr s = std::make_shared<Session>(user, "logined");std::string sessionid = _session_manager->AddSession(s);lg.LogMessage(Debug, "%s 被添加, sessionid是: %s\n", user.c_str(), sessionid.c_str());resp.AddHeader(ProveSession(sessionid));}}else{// 当浏览器在本站点任何路径中活跃,都会自动提交sessionid, 我们就能知道谁活跃了.std::string sessionid = req.SessionId();if (!sessionid.empty()){session_ptr s = _session_manager->GetSession(sessionid);// 这个地方有坑,一定要判断服务器端session对象是否存在,因为可能测试的时候// 浏览器还有历史sessionid,但是服务器重启之后,session对象没有了.if(s != nullptr)lg.LogMessage(Debug, "%s 正在活跃.\n", s->_username.c_str());elselg.LogMessage(Debug, "cookie : %s 已经过期, 需要清理\n", sessionid.c_str()); }}std::vector<std::string> _cookies; // 其实cookie可以有多个,因为Set-Cookie可以被写多条,测试,一条够了。std::string _sessionid; // 请求携带的sessionid,仅仅用来测试
- 准备两个浏览器: Google Chrome 和 Microsoft Edge(windows 自带的)
- 删除浏览器中指定的服务器上的所有的 cookie
- 如果历史上没有做过测试,就不删了
- chrome 的 cookie 有些特殊,实验不出来,尝试打印 chrome 浏览器发过来的 http 请求,观察 cookie 部分,你就能知道为什么要删除历史 cookie。
Google Chrome
- 访问/login, 模拟登录
- 两个浏览器访问任意的站点资源
服务器端已经能识别是哪一个浏览器了
总结:
HTTP Cookie 和 Session 都是用于在 Web 应用中跟踪用户状态的机制。Cookie 是存储在客户端的,而 Session 是存储在服务器端的。它们各有优缺点,通常在实际应用中会结合使用,以达到最佳的用户体验和安全性。
- favicon.ico 是一个网站图标,通常显示在浏览器的标签页上、地址栏旁边或收藏夹中。这个图标的文件名 favicon 是 “favorite icon” 的缩写,而 .ico 是图标的文件格式。
- 浏览器在发起请求的时候,也会为了获取图标而专门构建 http 请求。