http是无状况的，一次请求停止，连接断开，下次办事器再收到请求，它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的，然则对于我们的应用来说，我们是靠用户来治理，而不是靠客户端。所以对我们的应用而言，它是须要有状况治理的，以便办事端可以或许精确的知道http请求是哪个用户提议的，大年夜而断定他是否有权限持续这个请求。这个过程就是常说的会话治理。它也可以简单懂得为一个用户大年夜登录到退出应用的一段时代。本文总结了3种常见的实现web应用会话治理的方法：

1)基于server端session的治理方法

3)token-base的治理方法

这种方法同样实用于网页应用，token可以存于localStorage或者sessionStorage琅绫擎，然后每发ajax请求的时刻，都把token拿出来放到ajax请求的header里即可。不过如不雅长短接口的请求，比如直接经由过程点击链接请求一个页面这种，是无法主动带上token的。所以这种方法也仅限于走纯接口的web应用。

这些内容可以赞助加深对web顶用户登录机制的懂得，对实际项目开辟也有参考价值，迎接浏览与斧正。

1. 基于server端session的治理

2)cookie-base的治理方法

在早期web应用中，平日应用办事端session来治理用户的会话。快速懂得办事端session:

2)办事器在创建完session后，会把sessionid经由过程cookie返回给用户地点的浏览器，如许当用户第二次及今后向办事器发送请求的时刻，就会经由过程cookie把sessionid传回给办事器，以便办事器可以或许根据sessionid找到与该用户对应的session对象。

3)session平日有掉效时光的设定，比如2个小时。当掉效时光到，办事器会烧毁之前的session，并创建新的session返回给用户。然则只要用户在掉效时光内，有发送新的请求给办事器，平日办事器都邑把他对应的session的掉效时光根据当前的请求时光再延长2个小时。

4)session在一开端并不具备会话治理的感化。它只有在用户登录认证成功之后，并且往sesssion对象琅绫擎放入了用户登录成功的凭证，才能用来治理会话。治理会话的逻辑也很简单，只要拿到用户的session对象，看它琅绫擎有没有登录成功的凭证，就能断定这个用户是否已经登录。当用户主动退出的时刻，会把它的session对象里的登录凭证清掉落。所以在用户登录前或退出后或者session对象掉效时，肯定都是拿不到须要的登录凭证的。

以上过程可简单应用流程图描述如下：

主流的web开辟平台(java,.net,php)都原生支撑这种会话治理的方法，并且开提议来很简单，信赖大年夜部分后端开辟人员在入门的时刻都懂得并应用过它。它还有一个比较大年夜的长处就是安然性好，因为在浏览器端与办事器端保持会话状况的序言始终只是一个sessionid串，只要这个串够随机，进击者就不克不及随便马虎假装他人的sessionid进行操作;除非经由过程CSRF或http劫持的方法，才有可能假装别人进行操作;即使假装成功，也必须被假装的用户session琅绫擎包含有效的登录凭证才行。然则在真正决定用它治理会话之前，也得根据本身的应用情况推敲以下几个问题：

1)这种方法将会话信息存储在web办事器琅绫擎，所以在用户同时在线量比较多时，这些会话信息会占据比较多的内存;

2)当应用采取集群安排的时刻，会碰到多台web办事器之间若何做session共享的问题。因为session是由单个办事器创建的，然则处理用户请求的办事器不必定是那个创建session的办事器，如许他就拿不到之前已经放入到session中的登录凭证之类的信息了;

3)多个应用要共享session时，除了以上问题，还会碰到跨域问题，因为不合的应用可能安排的主机不一样，须要在各个应用做好cookie跨域的处理。

如不雅不推敲以上三个问题，这种治理方法比较值得应用，尤其是一些小型的web应用。然则一旦应用将来竽暌剐扩大的须要，那就得谨慎对待前面的三个问题。如不雅真要在项目中应用这种方法，推荐浇忧ⅴ点登录框架如CAS一路用，如许会使应用的扩大性更强。

2. cookie-based的治理方法

因为前一种方法会增长办事器的包袱和架构的复杂性，所今后来就有人想出直接把用户的登录凭证直接存到客户端的筹划，当用户登录成功之后，把登录凭证写到cookie琅绫擎，并给cookie设置有效期，后续请求直接验证存有登录凭证的cookie是否存在以及凭证是否有效，即可断定用户的登录状况。应用它来实现会话治理的┞符体流程如下：

1)用户提议登录请求，办事端根据传入的用户暗码之类的身份信息，验证用户是否知足登录前提，如不雅知足，就根据用户信息创建一个登录凭证，这个登录凭证简单来说就是一个对象，最简单的情势可以只包含用户id，凭证创建时光和过不时光三个值。

2)办事端把上一步创建好的登录凭证，先对它做数字签名，然后再用对称加密算法做加密处理，将签名、加密后的字串，写入cookie。cookie的名字必须固定(如ticket)，因为后面再获取的时刻，还得根据这个名字来获取cookie值。这一步添加数字签名的目标是防止登录凭证里的信息被修改，因为一旦信息被修改，那么下一步做签名验证的时刻肯定会掉败。做加密的目标，是防止cookie被别人朝长进步的时刻，无法随便马虎读到个中的用户信息。

这种方法最大年夜的长处就是实现了办事端的无状况化，彻底移除了办事端对会话的治理的逻辑，办事端只须要负粜ゴ建和验证登录cookie即可，无需保持用户的状况信息。对于第一种方法的第二个问题，用户会话信息共享的问题，它也能很好解决：因为如不雅只是同一个应用做集群安排，因为验证登录凭证的代码都是一样的，所以不管是哪个办事器处理用户请求，总能拿到cookie中的登录凭证来进行验证;如不雅是不合的应用，只要每个应用都包含雷同的登录逻辑，那么他们也是能随便马虎实现会话共享的，不过这种情况下，登录逻辑琅绫擎数字签名以及加密解密要用到的密钥文件或者密钥串，须要在不合的应用琅绫擎共享，总而言之，就是须要算法完全保持一致。

　　推荐阅读

　　Windows 7仍然是桌面王者 用户无视Windows 10

对于微软来说，不少Windows 7用户一向疏忽Win10的存在，这让他们很是无语。如今，市场调研机构NetMarketShare给出的最新统计显示，Windows 7仍然是全球应用最多的桌面操作体系，其市场份额>>>详细阅读

本文标题：关于Web会话管理的3种方式

地址：http://www.17bianji.com/lsqh/37143.html

 1/2    1