sessionId的生成过程和过期时间

最新推荐文章于 2024-04-01 09:54:03 发布
最新推荐文章于 2024-04-01 09:54:03 发布
阅读量480 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java基础梳理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_28340701/article/details/91451250
本文介绍了sessionId在浏览器与服务器交互中的生成过程,以及如何通过设置控制session的30分钟默认有效期。通过代码示例展示了如何将session过期时间设置为180秒,并讨论了当session过期后,服务器如何处理新请求并更新浏览器中的sessionId。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

浏览器第一次请求服务器时,服务器会生成一个sessionId,并返回给浏览器,这个sessionId会被保存在浏览器的会话cookie中。如下图

在这里插入图片描述

在浏览器不关闭的情况下,之后的每次请求请求头都会携带这个sessionId到服务器。如下图

在这里插入图片描述

session在服务器的默认有效时间是30分钟,可以通过3种方式去设置session的过期时间(具体那三种可以百度),下面通过代码的方式设置session过期时间为180秒

request.getSession().setMaxInactiveInterval(30*6);
在第二次请求3分钟后我们进行第三次请求,这个时候服务器中原有的session已经过期,所以服务器会生成一个新的sessionId返回给浏览器,并替换掉cookie中之前的sessionId,第三次请求cookie携带的还是之前的sessionId。如下图

在这里插入图片描述

浏览器再次请求,cookie就会携带新的sessionId到服务器,如下图

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sessionId生成机制
weixin_30616969的博客
09-07 2793
目录 面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。 参考:http://www.cnblogs.com/sharpxiajun/p/3395607.html http://lavasoft.blog.51cto.com/62575/275589/ sessionid是一个会话的key,浏览器第一次访问服务器会在服务...
手把手带你撸zookeeper源码-zookeeper的sessionId生成策略follower调用链初始化
badly的博客
08-09 708
继上篇文章手把手带你撸zookeeper源码-zookeeper中follower启动的时候会做什么?,分析到了follower启动之后leader建立了链接,并且把自己本地最新的zxid发送给leader,然后leader根据follower发送过来的zxid来判断如何把最新的数据同步给follower 今天继续分析Learner.syncWithLeader()方法中的代码, 首先我们来看下面的一行代码 zk.createSessionTracker(); 看字面意思是创建会话跟踪器,..
SessionID的本质
07-24 1421
一、客户端用cookie保存了sessionID 客户端用cookie保存了sessionID,当我们请求服务器的时候,会把这个sessionID一起发给服务器,服务器会到内存中搜索对应的sessionID,如果找到了对应的 sessionID,说明我们处于登录状态,有相应的权限;如果没有找到对应的sessionID,这说明:要么是我们把浏览器关掉了(后面会说明为什 么),要么sessi...
Jetty SessionId是如何生成生成规则
yezihumengjuan的专栏
01-13 3826
Jetty中提供了两个接口对seesion进行管理,SessionManager、SessionIdManager;且有对应的提供了两个抽象类,AbstractSessionManager,AbstractSessionIdManager; 具体怎么实现,上代码: (1)首先一个客户端的request请求到达服务器,通过调用request.getSession调用SessionManager生
Session ID 创建的规则
qq_42139244的博客
12-05 2603
SessionID 值是使用保证唯一性随机性的算法生成的,其中保证唯一性的目的是确保会话不冲突,保证随机性的目的是确保怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionIDSessionID是服务端生成的,SessionID于IP地址无关的,是会话有关的,你可以用你的电脑开启不同的浏览器访问你的页面,每种浏览器会产生一个会话,即一个SessionID,同时Se...
php中session过期时间设置及session回收机制介绍
10-25
在回收过程中,系统会检查`/tmp/sess_`目录下的文件,如果文件的最后修改时间距离当前时间超过`session.gc_maxlifetime`所设定的秒数,该文件会被删除,相应的Session也就随之失效。 Session在客户端通常通过Cookie...
PHP通过session id 实现session共享登录验证的代码
10-28
本文将深入探讨如何通过Session ID来实现Session共享登录验证,以及这两个关键功能的工作原理。 首先,我们要理解Session ID的作用。Session ID是一个唯一的字符串,它由PHP自动生成,并存储在用户的cookie中。当...
Laravel中的Sessionid处理机制详解
10-19
在 Laravel 框架中,Session...理解 Laravel 中的 Sessionid 处理机制对于开发过程中保持用户状态确保安全性至关重要。通过深入研究这些细节,开发者可以更好地利用 Laravel 的功能来构建安全、高效的 Web 应用程序。
Session ID的创建规则
qq_41261286的博客
12-05 2604
session id是我们各自在服务器上的一个唯一标志,这个id串既可以由php自动来生成,也可以由我们来赋予。你们可能我一样,很关心php自动生成的那个id串是怎么来的,冲突的概率有多大,以及容不容易被别人计算出来,所以有了下文。 SessionID于IP地址无关的,是会话有关的,你可以用你的电脑开启不同的浏览器访问你的页面,每种浏览器会产生一个会话,即一个SessionID,同时Sess...
sessionId的创建规则
weixin_43160277的博客
12-05 1579
sessionId的创建规则生成 跟IP端口这些无关吧,应该跟客户端,浏览器这些有关。当浏览器第一次请求时, 服务器创建一个session对象,同时生成一个sessionId,并在此次响应中将sessionId 以响应报文的方式些回客户端浏览器内存或以重写url方式送回客户端,来保持整个会话。 关闭此浏览器窗口,其内存中的sessionId也就随之销毁。重新请求时,会重新生成一个 sessi...
php 生成sessionid,生成sessionid随机密码的例子_php技巧
weixin_39968823的博客
03-11 145
用这个可以来验证用户生成随机密码–teaman//—————————————————-// Function GetSID()//// Parameters : $nSize number of caracters, default 24// Return value : 24 caracters string//// Description : This function returns a ...
PHP的Session ID是如何生成的?底层原理是什么?
长风破浪会有时的博客
04-01 915
总的来说,PHP的Session ID生成是一个涉及随机数生成、会话跟踪、数据存储与检索以及安全性的复杂过程。这些底层机制确保了Web应用能够识别并跟踪其用户,从而提供个性化的体验安全的交互。
编程示例: Session Id的生成
红孩儿编程大师
11-23 944
Session的实现方式如下:在用户第一次登录的时候,系统为它分配一个唯一Id(被称为Session Id)作为标识
replaceAll is not a funtion
月来better
01-25 405
function randomSessionId() { let ua = new Uint8Array(20); new DataView(ua.buffer).setUint32(0, Math.floor(+new Date() / 1000)); let crypto = window.crypto || window.msCrypto; if (crypto) { crypto.getRandomValues(ua.subarray(4, 20)); } retu.
sessionid如何产生?由谁产生?保存在哪里?
NsdnResponsibility的博客
06-14 2690
参考:http://www.cnblogs.com/sharpxiajun/p/3395607.htmlhttp://lavasoft.blog.51cto.com/62575/275589/sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid它对应。tomcat生成sessionid叫做jsessionid。session在访
sessionId产生方法参考
balaschen
05-28 215
tomcat java 代码 protected synchronized String generateSessionId() {               byte random[] = new byte[16];               // Render the result as a String of hexadecimal digi...
登录用accesstoken sessionid
最新发布
03-26
<think>嗯,用户想了解如何使用accessTokensessionId进行登录,以及它们的正确方法区别。首先,我需要回顾一下相关的知识,确保自己理解正确。 根据引用[1],sessioncookie通常一起使用,session存储服务端,客户端只保存session ID。而token,比如accessToken,是服务端生成的字符串,客户端存储后每次请求带上,避免频繁查询数据库。引用[2]提到,token是为了减轻服务器压力,客户端登录后只需提供token而不需要每次都传用户名密码。 用户的问题可能涉及两者的比较实现方法。我需要先解释两者的基本概念,再分步骤说明如何实现登录,然后比较它们的区别,比如存储位置、安全性、扩展性等。 需要注意的是,accessToken通常用于无状态的认证,比如JWT,而sessionId是有状态的,依赖服务端存储。引用[5]提到Android客户端服务端如何使用tokensession,可能涉及到具体实现细节。比如,使用session时,服务端需要维护session存储,而token可以自包含信息,减少服务端压力。 另外,用户可能想知道如何正确在客户端存储这些凭证,比如cookie、localStorage或sessionStorage。引用[3]中vue+flask的例子用了sessionStorage,可能相关。安全方面,引用[1]指出单独使用cookie的风险,所以可能需要结合其他安全措施,比如HTTPS、HttpOnly标志等。 还有,单点登录的情况,引用[4]中的Java例子用token实现单态登录,可能需要考虑token的生成管理方式,比如使用用户信息的哈希值。但实际中可能需要更复杂的机制,比如JWT签名。 在实现步骤部分,应该分别说明使用sessionIdaccessToken的流程,比如登录验证、凭证生成、存储方式、验证机制过期处理。同时,比较它们的区别,如状态管理、扩展性、适用场景等。 最后,相关问题可以引导用户进一步了解性能优化、安全措施、单点登录实现等,这些都在引用中有涉及,比如引用[2]提到的token减轻服务器压力,引用[4]的单态登录例子。 要确保回答结构清晰,分点说明,并引用正确的来源。同时检查LaTeX格式是否正确,但用户问题中没有数学公式,可能不需要用到。不过系统级指令要求所有行内数学表达式用$...$,需要注意这一点,但当前问题可能不涉及数学内容,所以可能不需要处理。</think>### 一、使用 `accessToken` `sessionId` 实现登录的方法 #### 1. **基于 `sessionId` 的登录流程** - **步骤1:用户验证** 用户提交账号密码后,服务端验证身份,生成唯一的 `sessionId`,并将用户信息(如用户ID、权限等)存储在服务端(如内存、Redis等)[^1]。 - **步骤2:返回 `sessionId`** 服务端将 `sessionId` 通过 `Set-Cookie` 响应头返回给客户端,客户端浏览器自动保存到 `Cookie` 中[^3]。 - **步骤3:请求验证** 后续客户端请求自动携带 `Cookie` 中的 `sessionId`,服务端通过 `sessionId` 查询用户信息,完成身份校验。 ```python # Flask示例:设置session from flask import session @app.route('/login', methods=['POST']) def login(): user = verify_credentials(request.form) session['user_id'] = user.id # 存储用户ID到服务端session return redirect('/dashboard') ``` #### 2. **基于 `accessToken` 的登录流程** - **步骤1:用户验证** 用户提交账号密码后,服务端验证身份,生成包含用户信息的 `accessToken`(如JWT格式),无需服务端存储[^2]。 - **步骤2:返回 `accessToken`** 服务端将 `accessToken` 返回给客户端,客户端通常存储在 `localStorage` 或 `Cookie` 中[^5]。 - **步骤3:请求验证** 客户端在请求头(如 `Authorization: Bearer <token>`)中携带 `accessToken`,服务端通过解密或签名验证其有效性[^2]。 ```javascript // JWT生成示例(Node.js) const jwt = require('jsonwebtoken'); const token = jwt.sign({ userId: 123 }, 'secretKey', { expiresIn: '1h' }); ``` --- ### 二、`accessToken` `sessionId` 的核心区别 | **特性** | **sessionId** | **accessToken** | |------------------|----------------------------------------|-------------------------------------| | **存储位置** | 服务端存储用户信息,客户端仅存ID | 客户端存储全部信息(如JWT) | | **状态管理** | 有状态(依赖服务端存储) | 无状态(自包含验证信息) | | **扩展性** | 横向扩展需共享session存储(如Redis) | 天然支持分布式系统 | | **安全性** | 需防范CSRF攻击(通过Cookie自动携带) | 需防范XSS攻击(通过前端存储) | | **适用场景** | 传统Web应用(需服务端状态管理) | 前后端分离、移动端、API服务[^5] | --- ### 三、安全建议 1. **`sessionId` 场景** - 启用 `HttpOnly` `Secure` 标志防止XSS中间人攻击。 - 使用CSRF Token防御跨站请求伪造。 2. **`accessToken` 场景** - 设置短期有效期,配合 `refreshToken` 更新机制。 - 避免在URL中传递Token,防止泄露。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灵豸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值