單點登錄與許可權管理本質：session和cookie介紹

本篇開始寫「單點登錄與許可權管理」系列的第一部分：單點登錄與許可權管理本質，這部分主要介紹相關的知識概念、抽象的處理過程、常見的實現框架。通過這部分的介紹，能夠對單點登錄與許可權管理有整體上的了解，對其相關概念、處理流程、常見實現有個基本的認識。

本篇文章介紹下session和cookie，它是登錄實現的基礎，主要從下面幾個方面介紹：

• session和cookie基本概念

• session的生命周期

• cookie的作用域

cookie的跨域問題會在後續文章單獨介紹。

基本概念

大部分系統都需要識別用戶的身份，有些功能只有特定的用戶能使用，有些功能需要根據用戶身份顯示不同的內容，一般使用唯一編號標識用戶的身份。

就像我們的身份證，身份證號是每個人唯一的，根據所在的省市區、出生年月、性別等規則生成，我們去政府機構辦事時，都需要帶著身份證，他們通過身份證驗證我們的身份。

session和cookie主要用來識別登錄者身份的，默認通過JSESSIONID唯一編號進行驗證。session是在服務端保存的一個數據結構，用來跟蹤用戶的狀態，也可以保存用戶相關的一些數據，可以保存在內存、緩存、資料庫等存儲結構中。cookie是客戶端保存用戶信息的一種機制。

servlet session

HttpSession：實際的session介面定義；

session相關的介面，一般由應用伺服器來實現，比如Tomcat、Resin、Jetty。Session的主要特徵：

• 可以設置和獲取一些屬性；

• 每個session對應一個編號sessionId，是一次會話的唯一表示；

• session有超時時間，用戶長時間無操作，維護的定時器會清除session，保證資源及時釋放；

• 可以通過調用invalidate方法主動清除session；

在tomcat中，HttpSession的實現是StandardSession，同時StandardSession會實現自定義的Session介面，它是對HttpSesion一個包裝。

另外，tomcat會實現session的管理和持久化，可隨時獲取到對應的session，具體實現不在本篇分析，網上有很多文章介紹。

cookie

cookie是客戶端的解決方案，是伺服器發給客戶端的特殊信息，這些信息以文本文件的方式存放在客戶端，後續請求，客戶端都會帶上這些特殊的信息。

服務端通過HTTPResponse設置cookie到響應頭，發送到客戶端，後續客戶端自動將cookie信息設置到請求頭。下面是我登錄百度後的cookie信息：

cookie也有失效時間，可通過cookie.setMaxAge(expiry)進行設置：

• expiry=-1，代表瀏覽器關閉後，cookie就失效了；

• expiry>0，代表會將cookie保存到硬碟中，直到設置時間過期才會被瀏覽器自動刪除；

• expiry=0，刪除cookie，cookie都會被瀏覽器給刪除。

另外還有其他幾個特性：

• setDomain：設置cookie範圍，後面會詳細介紹；

• isHttpOnly：是否只是http協議使用。只能在後端通過getCookies()獲取，js不能獲取；

• 每一個cookie文件大小：4kb ， 如果超過4kb瀏覽器不識別；

• cookie不安全，可能泄露用戶信息，瀏覽器支持禁用cookie操作；

• 臨時session：默認生命周期，當瀏覽器關閉時cookie銷毀的；

  交互過程

  

• 使用瀏覽器訪問服務端頁面；

• 服務端收到該客戶端第一次請求後，會創建一個session，生產一個唯一sessionId；

• 同時在響應請求中設置cookie，屬性名為jessionid；

• 客戶端收到後會保存jessionid，再次請求時，會在header中設置，服務端可從請求頭中獲取；

• 服務端驗證獲取的sessionId是否存在，即可驗證是否是同一用戶；

當瀏覽器禁用cookie後，基於cookie的session將不能正常工作，每次都將創建一個新的session，可通過url重寫傳遞jsessionid。

session的生命周期

session存儲在伺服器端，session在用戶第一次訪問時創建，訪問jsp、servlet等程序時才會創建Session，只訪問html、image等靜態資源並不會創建，可調用request.getSession(true)強制生成Session。

伺服器會把長時間沒有活動的Session從內存中清除，tomcat中session的默認失效時間為20分鐘，可調用調用session的invalidate方法強制清楚。

另外，我們可以自己實現session生命周期的管理，以滿足特定的業務需求，比如後續要講的單點登錄、分散式session等，tomcat可提供了相應擴展，後續文章會介紹。

cookie的作用域

創建cookie時，需要設置domain，有多級域名時，可以控制cookie的作用域。如果網站請求量很大，設置的cookie作用域不當，會浪費很多流量。

在3類域名下進行cookie設置，分別設置不同的domain，看看訪問各級域名時cookie的有效性。當domain設置為空時，domain默認為當前域名。

在一級域名mi.com下設置cookie

當domain為一級域名時，一級域名、包括其下的子域名都可以接收到cookie。但是domain參數設置其子域名時，所有域名就接收不到了，包括那個子域名。

當domain為自身域名時，其父域名無法接收到cookie，其本身與其子域名可以接收到cookie。而設置其子域名或其他域名時，所有域名都接收不到cookie。

可以得出結論：domain參數可以設置父域名以及自身，但不能設置其它域名，包括子域名，否則cookie不起作用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！