本文介绍了HTTP协议的无状态特性及其如何通过Cookie和Session技术实现会话跟踪。详细解释了这两种技术的工作原理,并讨论了它们在安全性方面的考量。
无状态的HTTP协议
协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器
传送到客户端的浏览器。 HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。
这就是无状态HTTP的含义。
会话(Session)跟踪:
会话,指用户登录网站后的一系列动作,比如浏览商品添加到购物车并购买。会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术
是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
Session是一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。
客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。
客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。为此,客户端需要在header中带上服务器分配给它的SessionId。
session机制的发展经历了两个阶段:
1. cookies only。缺点:把用户的重要信息,都放到用户端保存(client),存在安全隐患并且可能传输的数据过多。
2. cookies + session结合。服务端保存用户信息(field-value),将key命名为session_id,交给client。
在django框架下,这两个机制,只能选用一种。
# res.set_cookie("vcode", code_str, expires=300)设置了cookies后,client端就收不到session_id了。
通过session字段保存在服务端,client端可以打出来sessionid。
request.session['vcode'] = code_str
request.session['vcode_url'] = settings.MEDIA_HTTP_PREFIX + "/" + code_image_url
当调用logout时,logout(request)就会清除全部session数据。下次client发起连接时,会重新分配sessionid。
扫一扫
520
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
