正文 

当前位置: 首页 > 知识 > java教程

深度分析:面试90%被问到的sessioncookietoken,看完这篇你就掌握了!(代码片段)

author author     2022-12-01     371

关键词:

Cookie 和 Session

HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

Session 是什么

客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为?ConcurrentHashMap。Session 弥补了 HTTP 无状态特性,服务器可以利用 Session 存储客户端在同一个会话期间的一些操作记录。

Session 如何判断是否是同一会话

服务器第一次接收到请求时,开辟了一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 Set-Cookie:JSESSIONID=XXXXXXX 命令,向客户端发送要求设置 Cookie 的响应;客户端收到响应后,在本机客户端设置了一个 JSESSIONID=XXXXXXX 的 Cookie 信息,该 Cookie 的过期时间为浏览器会话结束。

技术图片

接下来客户端每次向同一个网站发送请求时,请求头都会带上该 Cookie 信息(包含 sessionId ), 然后,服务器通过读取请求头中的 Cookie 信息,获取名称为 JSESSIONID 的值,得到此次请求的 sessionId。

Session 的缺点

Session 机制有个缺点,比如 A 服务器存储了 Session,就是做了负载均衡后,假如一段时间内 A 的访问量激增,会转发到 B 进行访问,但是 B 服务器并没有存储 A 的 Session,会导致 Session 的失效。

Cookies 是什么

技术图片

HTTP 协议中的 Cookie 包括?Web Cookie?和浏览器 Cookie,它是服务器发送到 Web 浏览器的一小块数据。服务器发送到浏览器的 Cookie,浏览器会进行存储,并与下一个请求一起发送到服务器。通常,它用于判断两个请求是否来自于同一个浏览器,例如用户保持登录状态。

HTTP Cookie 机制是 HTTP 协议无状态的一种补充和改良

Cookie 主要用于下面三个目的

  • 会话管理

登陆、购物车、游戏得分或者服务器应该记住的其他内容

  • 个性化

用户偏好、主题或者其他设置

  • 追踪

记录和分析用户行为

Cookie 曾经用于一般的客户端存储。虽然这是合法的,因为它们是在客户端上存储数据的唯一方法,但如今建议使用现代存储 API。Cookie 随每个请求一起发送,因此它们可能会降低性能(尤其是对于移动数据连接而言)。

创建 Cookie

当接收到客户端发出的 HTTP 请求时,服务器可以发送带有响应的?Set-Cookie?标头,Cookie 通常由浏览器存储,然后将 Cookie 与 HTTP 标头一同向服务器发出请求。

Set-Cookie 和 Cookie 标头

Set-Cookie?HTTP 响应标头将 cookie 从服务器发送到用户代理。下面是一个发送 Cookie 的例子

技术图片

此标头告诉客户端存储 Cookie

现在,随着对服务器的每个新请求,浏览器将使用 Cookie 头将所有以前存储的 Cookie 发送回服务器。
技术图片

有两种类型的 Cookies,一种是 Session Cookies,一种是 Persistent Cookies,如果 Cookie 不包含到期日期,则将其视为会话 Cookie。会话 Cookie 存储在内存中,永远不会写入磁盘,当浏览器关闭时,此后 Cookie 将永久丢失。如果 Cookie 包含有效期?,则将其视为持久性 Cookie。在到期指定的日期,Cookie 将从磁盘中删除。

还有一种是?Cookie的 Secure 和 HttpOnly 标记,下面依次来介绍一下

会话 Cookies

上面的示例创建的是会话 Cookie ,会话 Cookie 有个特征,客户端关闭时 Cookie 会删除,因为它没有指定Expires或?Max-Age?指令。

但是,Web 浏览器可能会使用会话还原,这会使大多数会话 Cookie 保持永久状态,就像从未关闭过浏览器一样。

永久性 Cookies

永久性 Cookie 不会在客户端关闭时过期,而是在特定日期(Expires)特定时间长度(Max-Age)外过期。例如

Set-Cookie:?id=a3fWa;?Expires=Wed,?21?Oct?2015?07:28:00?GMT;

Cookie的 Secure 和 HttpOnly 标记

安全的 Cookie 需要经过 HTTPS 协议通过加密的方式发送到服务器。即使是安全的,也不应该将敏感信息存储在cookie 中,因为它们本质上是不安全的,并且此标志不能提供真正的保护。

HttpOnly 的作用

  • 会话 Cookie 中缺少 HttpOnly 属性会导致***者可以通过程序(JS脚本、Applet等)获取到用户的 Cookie 信息,造成用户 Cookie 信息泄露,增加***者的跨站脚本***威胁。

  • HttpOnly 是微软对 Cookie 做的扩展,该值指定 Cookie 是否可通过客户端脚本访问。

  • 如果在 Cookie 中没有设置 HttpOnly 属性为 true,可能导致 Cookie 被窃取。窃取的 Cookie 可以包含标识站点用户的敏感信息,如 ASP.NET 会话 ID 或 Forms 身份验证票证,***者可以重播窃取的 Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本***等。

Cookie 的作用域

Domain?和?Path?标识定义了 Cookie 的作用域:即 Cookie 应该发送给哪些 URL。

Domain?标识指定了哪些主机可以接受 Cookie。如果不指定,默认为当前主机(不包含子域名)。如果指定了Domain,则一般包含子域名。

例如,如果设置?Domain=mozilla.org,则 Cookie 也包含在子域名中(如developer.mozilla.org)。

例如,设置?Path=/docs,则以下地址都会匹配:

  • /docs

  • /docs/Web/

  • /docs/Web/HTTP

JSON Web Token 和 Session Cookies 的对比

JSON Web Token ,简称 JWT,它和?Session都可以为网站提供用户的身份认证,但是它们不是一回事。

下面是 JWT 和 Session 不同之处的研究

JWT 和 Session Cookies 的相同之处

在探讨 JWT 和 Session Cookies 之前,有必要需要先去理解一下它们的相同之处。

它们既可以对用户进行身份验证,也可以用来在用户单击进入不同页面时以及登陆网站或应用程序后进行身份验证。

如果没有这两者,那你可能需要在每个页面切换时都需要进行登录了。因为 HTTP 是一个无状态的协议。这也就意味着当你访问某个网页,然后单击同一站点上的另一个页面时,服务器的内存中将不会记住你之前的操作。

技术图片

因此,如果你登录并访问了你有权访问的另一个页面,由于 HTTP 不会记录你刚刚登录的信息,因此你将再次登录。

JWT 和 Session Cookies 就是用来处理在不同页面之间切换,保存用户登录信息的机制

也就是说,这两种技术都是用来保存你的登录状态,能够让你在浏览任意受密码保护的网站。通过在每次产生新的请求时对用户数据进行身份验证来解决此问题。

所以 JWT 和 Session Cookies 的相同之处是什么?那就是它们能够支持你在发送不同请求之间,记录并验证你的登录状态的一种机制。

什么是 Session Cookies

Session Cookies 也称为会话 Cookies,在 Session Cookies 中,用户的登录状态会保存在服务器内存中。当用户登录时,Session 就被服务端安全的创建。

在每次请求时,服务器都会从会话 Cookie 中读取 SessionId,如果服务端的数据和读取的 SessionId 相同,那么服务器就会发送响应给浏览器,允许用户登录。

技术图片

什么是 Json Web Tokens

Json Web Token 的简称就是 JWT,通常可以称为?Json 令牌。它是RFC 7519?中定义的用于安全的将信息作为?Json 对象进行传输的一种形式。JWT 中存储的信息是经过数字签名的,因此可以被信任和理解。可以使用 HMAC 算法或使用 RSA/ECDSA 的公用/专用密钥对 JWT 进行签名。

使用 JWT 主要用来下面两点

  • 认证(Authorization):这是使用 JWT 最常见的一种情况,一旦用户登录,后面每个请求都会包含 JWT,从而允许用户访问该令牌所允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小。

  • 信息交换(Information Exchange):JWT 是能够安全传输信息的一种方式。通过使用公钥/私钥对 JWT 进行签名认证。此外,由于签名是使用?head?和?payload?计算的,因此你还可以验证内容是否遭到篡改。

JWT 的格式

下面,我们会探讨一下 JWT 的组成和格式是什么

JWT 主要由三部分组成,每个部分用?.?进行分割,各个部分分别是

  • Header

  • Payload

  • Signature

因此,一个非常简单的 JWT 组成会是下面这样

技术图片

然后我们分别对不同的部分进行探讨。

Header

Header 是 JWT 的标头,它通常由两部分组成:令牌的类型(即 JWT)和使用的?签名算法,例如 HMAC SHA256 或 RSA。

例如

??"alg":?"HS256",??"typ":?"JWT"

指定类型和签名算法后,Json 块被?Base64Url?编码形成 JWT 的第一部分。

Payload

Token 的第二部分是?Payload,Payload 中包含一个声明。声明是有关实体(通常是用户)和其他数据的声明。共有三种类型的声明:registered, public 和 private?声明。

  • registered 声明:包含一组建议使用的预定义声明,主要包括

技术图片

  • public 声明:公共的声明,可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。

  • private 声明:自定义声明,旨在在同意使用它们的各方之间共享信息,既不是注册声明也不是公共声明。

例如

??"sub":?"1234567890",??"name":?"John?Doe",??"admin":?true

然后 payload Json 块会被Base64Url?编码形成 JWT 的第二部分。

signature

JWT 的第三部分是一个签证信息,这个签证信息由三部分组成

  • header (base64后的)

  • payload (base64后的)

  • secret

比如我们需要 HMAC SHA256 算法进行签名

HMACSHA256(??base64UrlEncode(header)?+?"."?+??base64UrlEncode(payload),??secret)

签名用于验证消息在此过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证 JWT 的发送者的真实身份

拼凑在一起

现在我们把上面的三个由点分隔的 Base64-URL 字符串部分组成在一起,这个字符串可以在 HTML 和 HTTP 环境中轻松传递这些字符串。

下面是一个完整的 JWT 示例,它对 header 和 payload 进行编码,然后使用 signature 进行签名

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

技术图片

????JWT 和 Session Cookies 的不同

JWT 和 Session Cookies 都提供安全的用户身份验证,但是它们有以下几点不同

密码签名

JWT 具有加密签名,而 Session Cookies 则没有。

JSON 是无状态的

JWT 是无状态的,因为声明被存储在客户端,而不是服务端内存中。

身份验证可以在本地进行,而不是在请求必须通过服务器数据库或类似位置中进行。这意味着可以对用户进行多次身份验证,而无需与站点或应用程序的数据库进行通信,也无需在此过程中消耗大量资源。

可扩展性

Session Cookies 是存储在服务器内存中,这就意味着如果网站或者应用很大的情况下会耗费大量的资源。由于 JWT 是无状态的,在许多情况下,它们可以节省服务器资源。因此 JWT 要比 Session Cookies 具有更强的可扩展性

JWT 支持跨域认证

Session Cookies 只能用在单个节点的域或者它的子域中有效。如果它们尝试通过第三个节点访问,就会被禁止。如果你希望自己的网站和其他站点建立安全连接时,这是一个问题。

使用 JWT 可以解决这个问题,使用 JWT 能够通过多个节点进行用户认证,也就是我们常说的跨域认证

JWT 和 Session Cookies 的选型

我们上面探讨了 JWT 和 Cookies 的不同点,相信你也会对选型有了更深的认识,大致来说

对于只需要登录用户并访问存储在站点数据库中的一些信息的中小型网站来说,Session Cookies 通常就能满足。

如果你有企业级站点,应用程序或附近的站点,并且需要处理大量的请求,尤其是第三方或很多第三方(包括位于不同域的API),则 JWT 显然更适合。

深度分析:面试阿里,字节跳动,美团90%被问到的list集合,看完还不懂算我输

1List集合1.1List概述在Collection中,List集合是有序的,可对其中每个元素的插入位置进行精确地控制,可以通过索引来访问元素,遍历元素。在List集合中,我们常用到ArrayList和LinkedList这两个类。关于JavaList的一些重要观点是;JavaList... 查看详情

深度分析:面试90%被问到的多线程创建线程线程状态线程安全,一次性帮你全搞定!(代码片段)

一、多线程1.概述多线程(multithreading),是指从软件或者硬件上实现多个线程并发执行的技术。就是在单个程序中同时运行多个线程来完成不同的工作。2.并发与并行并发:指两个或多个事件在同一个时间段内发生。并行:指两... 查看详情

面试大厂,90%会被问到的java面试题(附答案)

面向对象的三个特征封装,继承,多态多态的好处,代码中如何实现多态,虚拟机中如何实现多态允许不同类对象对同一消息作出相应,好处如下:可替换性:多态对已存在的代码具有可替换性可扩充性:增加新的子类不会影响... 查看详情

面试阿里,腾讯90%会被问到的25个问题,附答案!(代码片段)

想要确保您的下一次Java面试成功吗?查看这篇文章,了解有关常见Java面试问题的更多信息,以及面试技巧!简介作为最广泛使用和部署的语言,Java是Web领域的三大核心技术之一。它由JamesGosling,PatrickNaughton和MikeSheridan于1991年... 查看详情

面试阿里,字节跳动,腾讯90%会被问到的面试题——单例模式(代码片段)

1.什么是Singleton?Singleton,即单例,在Java中表示的是单例模式,所谓的单例模式,指的就是在程序中,有且仅有一个该实例对象。单:唯一,单独。例:实例对象。2.单例模式有几种创建方式?2.1饿汉式(在程序启动过程中,就... 查看详情

史上最全!2020面试阿里,字节跳动90%被问到的jvm面试题(附答案)

...是收到小伙伴的私信问我能不能帮忙整理出一份JVM相关的面试题出来,说自己在大厂去面试的时候这一块问的是特别多的,每次自己学的时候每次都学不到重点去。这不他来了,一份详细的JVM面试真题给大家整理在下方了!一、... 查看详情

面试阿里,字节跳动90%会被问到的微服务,你确定不进来看看吗?

1、您对微服务有何了解?微服务:又称微服务架构,是一种架构风格,它将应用程序构建为以业务领域为模型的小型自治服务集合。通俗地说,你必须看到蜜蜂如何通过对齐六角形蜡细胞来构建它们的蜂窝状物。他们最初从使... 查看详情

面试阿里,字节跳动,腾讯90%会被问到的面试题——单例模式(代码片段)

1.什么是Singleton?Singleton,即单例,在Java中表示的是单例模式,所谓的单例模式,指的就是在程序中,有且仅有一个该实例对象。单:唯一,单独。例:实例对象。2.单例模式有几种创建方式?2.1饿汉式(在程序启动过程中,就... 查看详情

深度分析!面试99%被问到的多线程和并发篇,看完你就懂了

1、Java中实现多线程有几种方法继承Thread类;实现Runnable接口;实现Callable接口通过FutureTask包装器来创建Thread线程;使用ExecutorService、Callable、Future实现有返回结果的多线程(也就是使用了ExecutorService来管理前面的三种方式)。2... 查看详情

深度分析:面试阿里,字节跳动,美团几乎都会被问到的阻塞队列

基本概念阻塞队列(BlockingQueue)是一个支持两个附加操作的队列。这两个附加的操作支持阻塞的插入和移除方法。1)支持阻塞的插入方法:意思是当队列满时,队列会阻塞插入元素的线程,直到队列不满。2)支持阻塞的移除方... 查看详情

面试腾讯,字节跳动,华为90%会被问到的hashmap!你会了吗?

简介HashMap是平常使用的非常多的,内部结构是数组+链表/红黑树构成,很多时候都是多种数据结构组合。我们先看一下HashMap的基本操作:  newHashMap(n);第一个知识点,传入n,构造的HashMap容量就是n吗?答案是:不一定。pub... 查看详情

深度分析:面试阿里,字节跳动,美团几乎都会被问到的阻塞队列(代码片段)

基本概念阻塞队列(BlockingQueue)是一个支持两个附加操作的队列。这两个附加的操作支持阻塞的插入和移除方法。1)支持阻塞的插入方法:意思是当队列满时,队列会阻塞插入元素的线程,直到队列不满。2)支持阻塞的移除方... 查看详情

关于物流项目面试可能会被问到的20题总结

文章目录1.简单介绍一下该项目5.数据来源及数据采集11、数据采集如何完成12、数据量大小3.技术架构(技术选项及框架版本)18、离线数仓数仓分层的作用是什么?我来介绍我们这个项目用到的模型:使用到了拉链表7.业务报表... 查看详情

面试阿里,字节跳动90%会被问到的java异常面试题集,史上最全系列!(代码片段)

Java异常架构与异常关键字Java异常简介Java异常是Java提供的一种识别及响应错误的一致性机制。Java异常机制可以使程序中异常处理代码和正常业务代码分离,保证程序代码更加优雅,并提高程序健壮性。在有效使用异常的情况下... 查看详情

面试阿里,字节跳动美团90%会被问到的面试题内部类,你还没掌握吗?(代码片段)

1.内部类的含义知道内部类这个概念,除了在用链表时定义节点类时,其余情况具体怎么使用感觉很生疏。再次回顾到这个知识点了,做一个系统的总结内部类,从字面意思上理解为“定义在类内部的类”。可以把它理解为汽车... 查看详情

吐血总结,面试经常会被问到的软实力问题

1、如果您来到我们公司,您会从哪里开始?如果前期只做三件事,会是哪三件?2、如果公司给你offer,会有什么理由让你拒绝我们的offer?3、你能为公司带来什么价值? 持续更新........ 查看详情

吐血总结,面试经常会被问到的软实力问题

1、如果您来到我们公司,您会从哪里开始?如果前期只做三件事,会是哪三件?2、如果公司给你offer,会有什么理由让你拒绝我们的offer?3、你能为公司带来什么价值? 持续更新........ 查看详情

整理一下面试经常被问到的关于集合的问题

集合类的框架图1.集合分两大类,Map和Collection。而Collection又有子接口List(数据存储顺序和插入顺序是一样的)、Set(里面的元素具有唯一性) 2.Collection中分为:  2.1:List主要有:List继承了Collection,是有序的列表。实现类... 查看详情