会话管理

  • Web会话管理概述
  • 常见的Web应用会话管理方式
    • 基于Server端的Session的管理方式
    • 基于Cookie的Session的管理方式
      • Cookie与Session最大的区别
      • Cookie-Based的管理方式
    • 基于Token-Based的管理方式
  • Web会话管理的安全问题

Web会话管理概述

  • 会话管理:在进行人机交互的时候,会话管理总是保持用户的整个会话活动的互助与计算机系统的跟踪过程。会话管理又分为:桌面会话管理、浏览器会话管理、Web服务器的会话管理。
  • 为什么要有会话管理:HTTP是一种无状态的协议,一次请求结束之后,客户端与服务端的链接就会断开,服务器再次收到请求时,无法识别这次请求是哪个用户发过来的,要重新建立连接。为了判断发送请求的用户,需要一种记录用户的方式,也就是Web会话管理。

常见的Web应用会话管理方式

  • 基于Server端的session的管理方式
  • cookie-based的管理方式
  • token-based的管理方式

基于Server端的Session的管理方式

在早期的Web应用之中,通常使用服务端session来管理用户的会话。
服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的session ID,以保证每个用户都有一个不同的session对象。
服务器在创建完session之后,会把session ID通过cookie返回给用户所在的浏览器,这样当用户第二次或者以后向服务器发送请求时,就会通过cookie把session ID传给服务器,以便服务器能根据session ID找到与该用户对应的session对象。
session通常设定有效时间,比如一个小时。当时间失效之后,服务器就会销毁之前的session,并且创建新的session用户。但如果在失效时间之内,有发送新的请求给服务器,服务器就会刷新对应的session有效时间。
session在一开始并不具备会话管理功能,只有在用户登录认证成功之后,并且往session对象里面放入了用户登陆成功的凭证,才能用来管理会话。管理会话的原理也很简单,拿到了用户的session对象之后,看其中有没有登录成功的凭证,就能判断这个用户是否已经登录。当用户主动退出的时候,会把它session对象里面的登录凭证清除掉。所以在用户登陆前或者退出后,或者session对象失效之后,肯定都是拿不到需要的登录凭证的。
优点:

  1. 某些地方使用可以简化Web开发:如果在诸多Web页面间传递一个变量,那么用session变量要比通过QueryString传递变量可使问题简化。
  2. 安全性好︰客户端与服务端保持会诂状态的保介始终只定一1es非过rKPE式要这个串够随机,攻击者就不能轻易冒充他人的session lD进行操作;除非通过CSRF或http劫持的方式,才有可能冒充别人进行操作;即使冒充成功,也必须被冒充的用户session里面包含有效的登录凭证才行。
    缺点:
  3. 这种方式将会话信息存储在Web服务器里面,当用户同时在线量比较多时,这些会话信息会占据比较多的内存;
  4. 当应用采用集群部署的时候,会遇到多台web服务器之间如何做session共享的问题。
  5. 多个应用要共享session时,还会遇到跨域问题。不同的应用可能部署的主机不一样,需要在各个应用做好cookie跨域的处理。
    接下来进行验证:



    登录成功之后会在tmp文件夹中放置一个sess开头的文件,里面有登陆成功的凭证。

基于Cookie的Session的管理方式

session的管理方式会增加服务器的负担和架构的复杂性,所以后来就提出把用户的登录凭证直接存到客户端的方案,当用户登录成功之后,把登录凭证写到cookie里面,并给cookie设置有效期,后续请求直接验证存有登录凭证的cookie是否存在以及凭证是否有效,即可判断用户的登录状态。

Cookie与Session最大的区别

Cookie将数据存储在客户端;Session将数据存放在服务端。

Cookie-Based的管理方式

用户发起登录请求,服务端根据传入的用户密码之类的身份信息验证用户是否满足登录条件,如果满足,就根据用户信息创建一个登录凭证,这个登录凭证简单来说就是一个对象,最简单的形式可以只包含用户id、凭证创建时间和过期时间三个值。
服务端把上一步创建好的登录凭证,先对它做数字签名,然后再用对称加密算法做加密处理,将签名、加密后的字串,写入cookie。cookie的名字必须固定(如ticket),因为后面再获取的时候,还得根据这个名字来获取cookie值。这一步添加数字签名的目的是防止登录凭证里的信息被篡改,因为一旦信息被篡改,那么下一步做签名验证的时候肯定会失败。做加密的目的,是防止cookie被别人截取的时候,无法轻易读到其中的用户信息。
用户登录后发起后续请求,服务端根据上一步存登录凭证的cookie名字,获取到相关的cookie值。然后先做解密处理,再做数字签名的认证,如果这两步都失败,说明这个登录凭证非法;如果这两步成功,接着就可以拿到原始存入的登录凭证了。然后用这个凭证的过期时间和当前时间做对比,判断凭证是否过期,如果过期,就需要用户再重新登录;如果未过期,则允许请求继续。
优点:

  1. 实现了服务端的无状态化(最大的优点),服务端只需要负责创建和验证登录cookie即可,无需保持用户的状态信息。
  2. cookie可以跨越同域名下的的多个网页,但不能跨越多个域名使用
  3. 可以设置有效期限,控制cookie的生命周期,使之不会永远有效(攻击者可能拿到的是过期的cookie)

缺点:

  1. cookie有大小限制,存储不了太多数据。
  2. 每次传送cookie,增加了请求的数量,对访问性能也有影响。3、同样存在跨域问题(不同域名无法互相读取cookie)

基于Token-Based的管理方式

Session和Cookie两种会话管理方式由于都要用到Cookie,不适合用在nativeapp里面,因为native app不是浏览器,不好管理Cookie,因此都不适合做纯API服务的登录认证。要实现API服务的登录认证,就需要用到token-based的会话管理方式。
token-based的管理方式从流程上和实现上跟cookie-based的管理方式没有太多区别,只不过cookie-based的管理方式中写到cookie里面的ticket在这种方式下称为token,这个token在返回给客户端之后,后续请求都必须通过url参数或者是httpheader的形式,主动带上token,这样服务端接收到请求之后就能直接从http header或者url里面取到token进行验证。
优点:

  1. 支持跨域访问:Cookie是不支持跨域访问的,Token支持
  2. 无状态:Token无状态,Session有状态(有状态和无状态最大的区别就是搬铐端会不会保存客户端的信息)
  3. 支持移动设备:Token更适用于移动应用,Cookie不支持手机端访问

缺点:

  1. 占带宽:正常情况下Token要比session lD更大,需要消耗更多的流量,挤占更多带宽
  2. 无法在服务端注销,很难解决劫持问题

Web会话管理的安全问题

在Web应用里,会话管理的安全性始终是最重要的安全问题,对用户的影响极大。从会话管理凭证来说,Session会话管理的会话凭证仅仅是一个session lD,所以只要这个session lD足够随机,那么攻击者就不会轻易地冒充别人的session lD进行操作;Cookie会话管理的凭证(ticket)以及Token会话管理凭证(token)都是一个在服务端做了数字签名和加密处理的串,所以只要密钥不泄露,攻击者也无法轻易拿到这个串中有效信息并对它进行篡改。总之,这三种会话管理方式的凭证本身是比较安全的。
从客户端和服务端的HTTP过程来说,当攻击者截获到客户端请求中的会话凭证,就能拿这个凭证冒充原用户,做一些非法操作,而服务器也认不出来。这种安全问题,可以简单采用HTTPS来解决,虽然可能还有HTTP劫持这种更高程度的威胁存在,但是从代码能做的防范,确实也就是这个层次了。

Session会话管理相关推荐

  1. springboot使用redis做session会话管理

    在项目中经常用到session做用户登陆后的会话管理,利用redis的特性可以很好的实现这一效果,下面我们看看如何使用springboot整合redis做到管理session,也就是登录用户的信息,这 ...

  2. XSS跨站脚本(web应用)——会话管理(一)

    本章目的 普及SESSION,COOKIE会话管理和代码实现掌握Token会话管理了解会话管理的安全问题 Web会话管理概述 会话管理 在人机交互时,会话管理是保持用户的整个会话活动的互动与计算机系统 ...

  3. shiro会话监听_SpringBoot集成Shiro会话管理

    在Shiro中我们可以通过org.apache.shiro.session.mgt.eis.SessionDAO对象的getActiveSessions()方法方便的获取到当前所有有效的Session ...

  4. SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)

    SpringSecurity系列--会话管理,CSRFday8-1(源于官网5.7.2版本)) 会话管理 会话并发管理 限制会话实例 关闭session会话管理 开启会话管理并设置最大会话数为1 前后 ...

  5. 5G NGC — 会话管理模型 — PDU Session

    目录 文章目录 目录 5G 的会话管理模型 PDU Session PDU Session 的类型 Ethernet Type Unstructured Type DNN 的作用 UE IP 地址的分 ...

  6. WebService大讲堂之Axis2(5):会话(Session)管理

    WebService给人最直观的感觉就是由一个个方法组成,并在客户端通过SOAP协议调用这些方法.这些方法可能有返回值,也可能没有返回值.虽然这样可以完成一些工具,但这些被调用的方法是孤立的,当一个方 ...

  7. 使用Spring Session做分布式会话管理

    在Web项目开发中,会话管理是一个很重要的部分,用于存储与用户相关的数据.通常是由符合session规范的容器来负责存储管理,也就是一旦容器关闭,重启会导致会话失效.因此打造一个高可用性的系统,必须将 ...

  8. PHP会话管理——Session和Cookie

    会话管理包括:Session和Cookie,主要功能都是把客户端和服务器关联起来,用于管理和查看用户在网站中的状态. 背景 Web应用程序是使用HTTP协议传输数据的.HTTP协议是无状态的协议.一旦 ...

  9. datastore_使用Spring Session和JDBC DataStore进行会话管理

    datastore 在Web应用程序中,用户会话管理对于管理用户状态至关重要. 在本文中,我们将学习在集群环境中管理用户会话所采用的方法,以及如何使用Spring Session以更简单和可扩展的方式 ...

最新文章

  1. 2017国二java题库,2017全国计算机二级考试JAVA考试题库
  2. linux的ls命令详解
  3. JQuery.Ajax()的data参数传递方式
  4. JDBC驱动的动态加载
  5. php的filter input,php中filter_input函数用法分析
  6. linux centos7 安装zookeeper
  7. poj 2421 ConstructingRoads 最小生成树 Prim、Kruskal
  8. mysql 以及mysql可视化工具下载安装地址
  9. Windows下安装MinIO
  10. python论坛签到_Python实现某论坛自动签到功能
  11. Android View框架总结(九)KeyEvent事件分发机制
  12. 计算机职业素养论文1500字,提升道德素养论文_职业素养论文2000字_工程师职业素养结课论文1500字...
  13. DBF文件实例分析(转)
  14. 数字翻译成英语JavaScript
  15. PHP简单的学生管理系统的代码
  16. ArcEngine编辑模块——将线段按距离、按比例分割成两部分
  17. Linux的.a、.so和.o文件
  18. 芯片TOPS的真实性 - 解释 ( 标量 ,矢量, 张量)
  19. linux进程间通信(IPC) ---无名管道
  20. 人生的三重境界(山在那?水在那?)

热门文章

  1. 丝网印刷的作用原理及异常分析
  2. FFmpeg从入门到精通命令
  3. Navicat Premium绿色版安装
  4. JXTA技术与应用发展
  5. android韩国代理,韩国Android手机市场占有率达70%
  6. 多进程concurrent.futures的ProcessPoolExecutor的一个注意点
  7. 2015-年校内选拔-蓝桥杯C-(A组)赛题-勾股定理
  8. 成功解决OBS中的回音问题
  9. 跳跳虎辅助免费体验版
  10. MediaPlayer提示“无法播放视频”