前言
最近在学习 Python 网络编程,已经实现了简单的服务器和浏览器的信息交互。正在进一步学习 Cookie 和 Session(可能还有 Token),所以写一篇随笔来加深自己的理解。
一、Cookie 是什么
Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而储存在用户本地终端上的数据(通常经过加密)。【来源:百度百科】
简言之,Cookie 是服务器和浏览器通信的一项内容。用于实现本地的持久化。服务器可以在返回给浏览器的数据中加入 Set-Cookie 字段。浏览器会把这个字段的内容保存下来,然后再以后的每次请求中自动加入 Cookie。这样,服务器在收到请求的时候,就可以识别请求发送方的身份,从而给出一些个性化的响应。
所以 Cookie 就是服务器给客户端加的一个识别标签,这个标签保存在客户端,每次请求数据时会通过浏览器发送给服务器。同时,服务器上会保存与这个标签相关联的其他用户数据,比如用户名。Cookie 有如下属性:
属性 | 介绍 |
name | cookie的名字 |
value | cookie的取值 |
expires | 过期时间,如果这个属性不指定的话,就是“session cookie”,也就是这个session在关闭浏览器后会被删除 |
path | cookie的作用域,子文件夹下的网页可以访问父文件夹下的网页生成的cookie,但是反过来却不能。例如在/路径下生成了cookie_a,在/sub路径下生成了cookie_b,则/路径下只能读取cookie_a,而/sub路径下可以读取cookie_a和cookie_b。注意,如果不设置这个属性的话,默认使用的是当前的url的相对路径,例如在url http://www.a.com/some/page.php中设置cookie时没有指定path路径,则它的path属性为/some。一般我们设置cookie,就是让网站中所有其他的网页都能读取到的,所以应该将其设置为'/'。 |
domain | cookie的所属域名,默认是全域名,例如www.somesite.com。当然也可以自己指定根域名,即somesite.com,这样的话如果当前网站旗下有子域名网站的话,例如a.somesite.com b.somesite.com之类的子域名,那么在子域名所在网站中也能读取这个cookie。 |
secure | 这个属性是针对https来说的,如果设定其为true的话,那么只有在请求当前网站的https的地址的时候,才能读取出来。 |
httponly | 这个属性设置js对于当前cookie的读取权限,如果为true,则js无法读取修改当前cookie |
二、Session 是什么
我的理解(待修正)。
Session 从字面解释,就是“会话”,浏览器和服务器建立了一次会话,那么服务器怎么知道会话的对方是谁呢?常见的是通过用户名和密码进行验证。但是如果每次访问都需要验证就太麻烦了,所以,在一次验证之后,服务器在返回的 Cookie 中加入一个字段,Session_id,通常是一个随机字符串。在服务器中,通过 Session_id 对当前用户的若干信息进行关联(比如用户名、出生年月等),这样服务器就可以借用 Cookie 中的 Session_id 来识别会话对象。Session 相对于 Cookie 技术的优点在于它是加密的,由于 Session_id 是一个随机字符串,所以,无法在 Cookie 中直接伪造访问者的身份信息。当然,如果 Session_id 被截获,仍然是可以冒充身份进行访问的。
三、如何实现 Cookie
简单的方法就是在请求和响应中加入 Cookie 字段。
Cookie 的内容保存在浏览器端。
Session 的数据保存在服务器端。
四、我理解的Token
我理解 Token 的机制和 Session 一样,也是服务器和浏览器对暗号。
不同的是,Session_id 本身是无意义字符串,完全依靠保存在服务器的映射表来指向用户的有意义信息;而 Token 本身则携带信息(加密的),它可能是已存在服务器的一类有意义的数据。
服务器拿到 Token,只需要进行解密,就可以得到已经保存在服务器的数据(比如用户名),从而验证客户的身份。在这种情况下,就节约了服务器用来存储 Session_id 的空间。
所以,Cookie 是明文的有意义字符串,很容易被伪造;Session 是一串无意义的字符串,几乎不可能被伪造,但是攻击者也可以通过截获 Session_id 来冒充特定用户;Token 是加了密的 Cookie,它的安全性取决于加密算法。(它们之间可能存在很多细节差异,但是从初学者的角度,我想先做一些粗浅的分类)
五、待解决的问题
Session 是否是永久的?