Cookie和Session在Node.JS中的实践(二)
cookie篇在作者的上一篇文章Cookie和Session在Node.JS中的实践(一)已经是写得算是比较详细了,有兴趣可以翻看,这篇是session篇,重点在讨论session的特性、概念,以及session和cookie的区别和联系。
session
COOKIE存在于客户端,而SESSION存在于服务端,并且SESSION需要COOKIE的支持。
session是存在于服务端的信息管理机制,它把客户端信息以某种信息形式记录在服务器中,客户端再次访问只需要从session中查找用户的状态就可以了。
session运行机制
session的运行机制是这样的,当程序需要为某个客户端的请求创建一个seesion时,服务器会首先检查这个客户端的请求中的cookie是否含有session标识符(很多人把他叫session_id)。
考虑两种检查结果:
1.包含session标识符并且没有过期,则表示服务器已经对这个客户端创建了session,而服务器只需按照session_id把session检索出来使用。
2.不包含seesion标识符或已过期,则需要新创建一个session并且生成与这个session相关联的session_id返回给客户端保存。
session存在的必要性
session存在的必要性,很少文章谈到这个,作者一开始一直都在想这个问题:
使用纯客户端中的cookie就能完成会话保持,为什么需要服务端的session?
先来看这个例子:在一个浏览器中登录博客园,通过开发工具获得了cookie并复制,在另一个浏览器中打开博客园(退出登录状态下),然后把复制好的cookie都填入该浏览器中,刷新,你会发现这个浏览器居然是已经是登录状态了。(作者亲测例子,读者自行测试具体截图不放了,若操作有问题评论区解决)
只要盗取了cookie,就能劫持session。同样的道理,如果单使用cookie,那么也是一样只要盗取了cookie就能做到冒充登录。既然盗取了cookie,无论是session还是cookie都一样会被冒充,那为什么需要session呢?
作者为了明白这个问题,花了很多时间才弄明白,没文化真阔怕。其实session存在的必要性可以从以下几点说明:
1.用session只需要在客户端保存一个id,实际上大量数据都是保存在服务端。如果全部用cookie,数据量大的时候客户端是没有那么多空间的。
2.cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。还有URL等其他方式
3.全部在客户端保存,服务端无法验证,这样伪造和仿冒会更加容易。(伪造一个随机的id很难,但伪造另一个用户名是很容易的)
4.全部保存在客户端,那么一旦被劫持,全部信息都会泄露
5.客户端数据量变大,网络传输的数据量也会变大
其实,在当下的开发中,都是结合二者使用的。
总结
COOKIE存在于客户端,而SESSION存在于服务端,并且SESSION需要COOKIE的支持。session是存在于服务端的信息管理机制,它把客户端信息以某种信息形式记录在服务器中,客户端再次访问只需要从session中查找用户的状态就可以了。
session和cookie间的区别和联系:
- 最大的区别,session在服务端,cookie在客户端。
- 最大的联系,session需要cookie,完成一个会话需要两者结合。
- session比cookie要更安全。
- 单cookie数据不能超过4K,另外浏览器可能会限制单个站点的cookie数量。而session在服务端没有此类限制。
考虑到后面会使用NODE.JS作为写session和cookie的实践,所以把文章分成3部分最好——cookie篇、session篇、NODE.JS实践篇。这样,读者可以按需去看,写NODE.JS可以看我下一篇的文章,不会NODE的可以跳过了。
下次,NODE.JS见。
如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!
Reference
- https://blog.csdn.net/fangaoxin/article/details/6952954
- http://blog.51yip.com/php/938.html
- https://www.cnblogs.com/shiyangxt/articles/1305506.html
Cookie和Session在Node.JS中的实践(二)的更多相关文章
-
Cookie和Session在Node.JS中的实践(三)
Cookie和Session在Node.JS中的实践(三) 前面作者写的COOKIE篇.SESSION篇,算是已经比较详细的说明了两者间的区别.机制.联系了.阅读时间可能稍长,因为作者本身作图也做了不 ...
-
Cookie和Session在Node.JS中的实践(一)
Cookie和Session在Node.JS中的实践(一) Cookie和Session是一个非常有趣的概念,也是一个老生常谈的话题.然而,作者看了许多文章,也翻看了几本书籍,它们对Cookie和Se ...
-
Node.js中的Session,不要觉得简单哦。
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,博客地址为http://www.cnblogs.com/jasonnode/ .学习网站上有对应 ...
-
在node.js中使用COOKIE
node.js中如何向客户端发送COOKIE呢?有如下两个方案: 一.使用response.writeHead,代码示例: //设置过期时间为一分钟 var today = new Date(); v ...
-
Node.js中的不安全跳转如何防御详解
Node.js中的不安全跳转如何防御详解 导语: 早年在浏览器大战期间,有远见的Chrome认为要运行现代Web应用,浏览器必须有一个性能非常强劲的Java引擎,于是Google自己开发了一个高性能的 ...
-
在node.js中,使用基于ORM架构的Sequelize,操作mysql数据库之增删改查
Sequelize是一个基于promise的关系型数据库ORM框架,这个库完全采用JavaScript开发并且能够用在Node.JS环境中,易于使用,支持多SQL方言(dialect),.它当前支持M ...
-
如何在Node.js中合并两个复杂对象
通常情况下,在Node.js中我们可以通过underscore的extend或者lodash的merge来合并两个对象,但是对于像下面这种复杂的对象,要如何来应对呢? 例如我有以下两个object: ...
-
Node.js 中MongoDB的基本接口操作
Node.js 中MongoDB的基本接口操作 连接数据库 安装mongodb模块 导入mongodb模块 调用connect方法 文档的增删改查操作 插入文档 方法: db.collection(& ...
-
初步揭秘node.js中的事件
当你学习node.js的时候,Events是一个非常重要的需要理解的事情.非常多的Node对象触发事件,你能在文档API中找到很多例子.但是关于如何写自己的事件和监听,你可能还不太清楚.如果你不了解, ...
随机推荐
-
Html5离线缓存详细讲解
离线缓存是Html5新特性之一,简单理解就是第一次加载后将数据缓存,在没有清除缓存前提下,下一次没有网络也可以加载,用在静态数据的网页或游戏比较好用.当然,Html5新的特性都不是所有浏览器都能支持的 ...
-
python利用xmlrpc方式对odoo数据表进行增删改查操作
# -*- encoding: utf-8 -*- import xmlrpclib #导入xmlrpc库,这个库是python的标准库. username ='admin' #用户登录名 pwd = ...
-
Spring MVC 环境搭建(二)
在Spring MVC 环境搭建(一)中我们知道 spring 的配置是通过 urlmapping 映射到控制器,然后通过实现Controller接口的handlerequest方法转向页面. 但这存 ...
-
kvm 对虚拟机里面插u盘
KVM虚拟机上关于宿主机的USB设备使用问题探究 KVM usb passthrough就是将宿主机的usb接口直接给虚拟机使用,usb接口上的设备也就直接可以在虚拟机上使用: 测试通过usb pas ...
-
KMP算法(模板)
话说kmp真的挺难理解的,花了挺大功夫的,恩,找了段好理解的代码,做模板了 int KMP(char *s,char *p){ int ans = -1; nex[0] = 0; int lenp = ...
-
I/O事件
I/O事件 最近在研究tornado和gevent,里面涉及了非阻塞I/O.在了解非阻塞I/O之前,需要先了解I/O事件 我们知道,内核有缓冲区.假设有两个进程A,B,进程B想读进程A写入的东西(即进 ...
-
uva 301 Transportation 铁路公司的阳谋 纯dfs暴力
题目比较难理解. 给出铁路的容量和站点数,以及几笔订单,要求算出如何盈利最大. 咋一看想贪心,但无法确定是最优解啊. 于是用dfs做,就两种状况,选与不选,先开一个每个站点的当前人数数组,假设要选,然 ...
-
Erlang cowboy 处理简单的HTTP请求
Erlang cowboy 处理简单的HTTP请求 原文出自: Handling plain HTTP requests 处理请求的最简单的方式是写一个简单的HTTP处理器.它的模型参照Erlang/ ...
- vue中插入Echarts示例(菜鸟记录)
-
JS检测数据类型
如果你要判断的是基本数据类型或JavaScript内置对象,使用toString: 如果要判断的时自定义类型,请使用instanceof. 1.typeof typeof操作符返回的是类型字符串,它的 ...