日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

假設(shè)一個(gè)場景：在 Session 中保存一個(gè)變量，用戶每請求一次變量增加 1，然后把最新的值以 HTML 的方式返回給客戶端。

我們提供的服務(wù)有：成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、應(yīng)縣ssl等。為上1000家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的應(yīng)縣網(wǎng)站制作公司

用戶第一次請求，Web 服務(wù)器(或者應(yīng)用服務(wù)器，如 Tomcat)返回?cái)?shù)字 1，那么此時(shí) HTTP 傳輸已經(jīng)結(jié)束，TCP 經(jīng)歷四次揮手，連接關(guān)閉。

• 當(dāng)頁面再次刷新時(shí)(TCP 重新連接，客戶端是新的端口)服務(wù)器端是如何知道用戶對應(yīng)的 Session 的?
• 此時(shí)關(guān)閉瀏覽器 Session 是否會釋放?

眾所周知 HTTP 是無狀態(tài)的協(xié)議，它的狀態(tài)管理機(jī)制是后來增補(bǔ)上去的，被記錄在rfc6265(HTTP State Management Mechanism)。具體方法很簡單：

• 服務(wù)器端->客戶端增加一個(gè)新的返回頭部“Set-Cookie”，通過它設(shè)置一個(gè) Key/Value 結(jié)構(gòu)的數(shù)據(jù);客戶端負(fù)責(zé)保存這個(gè)數(shù)據(jù)。
• 客戶端->服務(wù)器端增加一個(gè)新的請求頭部“Cookie”，把保存的 Cookie(Key/Value 結(jié)構(gòu))提交給服務(wù)器端。

這個(gè)機(jī)制就是 Cookie，Session 機(jī)制是建立在 Cookie 機(jī)制之上的。對于 JavaEE 而言：

用戶請求的業(yè)務(wù)邏輯中出現(xiàn) Session 操作，并且本次請求沒有 JSESSIONID 的頭部被傳遞過來，服務(wù)器端會通過 Set-Cookie 設(shè)置上一個(gè)新的

當(dāng)用戶再次請求，Cookie 中包含了 JSESSIONID，服務(wù)器端會依據(jù)此判斷出用戶所屬的 Session

所以回到開始的兩個(gè)問題：

• 服務(wù)器端通過讀取 Http 頭部 Cookie 部分 JSESSIONID 找到用戶所屬的 Session
• 關(guān)閉瀏覽器只是 JSESSIONID 這個(gè) Cookie 被刪除;服務(wù)器端的 Session 不會被刪除。刪除時(shí)間是通過session-timeout配置的

有一種網(wǎng)絡(luò)攻擊方法叫 Cookie/Session 欺騙，比如某管理員用戶登錄到系統(tǒng)了，如果我們趁他不在電腦旁邊的時(shí)候把他的 JSESSIONID 復(fù)制走;然后打開瀏覽器訪問相同的網(wǎng)址，通過瀏覽器設(shè)置上 JSESSIONID，再次刷新，你會發(fā)現(xiàn)已經(jīng)登錄成功了。也就是說服務(wù)器端其實(shí)只認(rèn) JSESSIONID，它甚至無法區(qū)分究竟有多少管理員“同時(shí)在線”。

【本文是專欄作者“邢森”的原創(chuàng)文章，轉(zhuǎn)載請聯(lián)系作者本人獲取授權(quán)】

網(wǎng)站標(biāo)題：一分鐘理解Session和Cookie的關(guān)系
本文來源：http://www.dlmjj.cn/article/codgics.html