Java for the Web With Servlets, JSP, and EJB(Part1-Chapter5)Session Management

2024-04-08 14:52

本文主要是介绍Java for the Web With Servlets, JSP, and EJB(Part1-Chapter5)Session Management,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 一、为什么需要Session
  • 二、信息管理
    • 2.1 Server端不存储信息,直接将信息返回给Client(危险!)
      • 2.1.1 Server端返回HTML页面的
      • 2.1.2 Server端返回JSON的
      • 2.1.2 Server/Client将信息写入Cookie
    • 2.2 Server端存储信息,返回Client端一个凭据(没那么危险)
      • 2.2.1 凭据使用Cookie或直接写在URL中
      • 2.2.2 Session

一、为什么需要Session

在最基本状态下,Server是一个无情的HTTP请求报文处理和应答机器,就像一个无情的函数一样。Server是不认识client的,每次收到HTTP报文,都不会在意是哪个client发来的消息。

Client创建连接
Client发送HTTP请求报文
Server接受请求报文
Server发送返回报文
Client接受返回报文
Server关闭连接

Server响应完之后就会立刻关闭连接。

Client Server Request1——【Hello John, how are you?】 Response1——【Great!】 Client Server

第二次就算是同一个Client再和Server打招呼,Server也认不出来是谁,也不记得之前发生了什么。

Client Server Request2——【See you later!】 Response2——【I'm sorry, I don't recognize you.】 Client Server

一个常见的场景是需要用户登录的服务,这时候Server是需要记录这个用户的信息,并且辨别每次client发来的消息到底是属于哪个用户的。
这时候就需要一个可以存储client-用户信息的功能,也就是Server端的Session管理,Client端的Cookie管理

二、信息管理

核心要义就是:当client第二次请求的时候,server能认出来第一次请求是提供了啥信息给server,第二次请求的时候server可以复用第一次请求的信息。

2.1 Server端不存储信息,直接将信息返回给Client(危险!)

Client1:Hi,Server! 我是Client1!
Server:知道了,你是Client1,下次来的时候请自报家门,告诉我你的相关信息。我将为你处理。
Client1:Hi,Server!我是Client1!我要买一张票balabala…
Server: 好的!为您办理,Client1购买一张票balabala…

注意!这种情况下Server是不去确认client有没有说谎的,基本上就是,client说啥信啥,无法排除Client伪造自己的身份的可能。

2.1.1 Server端返回HTML页面的

  • 页面中的跳转链接<a>标签等(信息直接写在URL中)
  • 页面中的form表单(使用hidden隐藏信息)

2.1.2 Server端返回JSON的

  • Client请求的时候再带上所需的数据

2.1.2 Server/Client将信息写入Cookie

本质上就是一个高级的自动化Client带上复用数据进行请求的管理工具。和上面几种方式没有本质的区别。
!!!区别在于,浏览器会自动管理Cookie,每次Client进行请求时都会在HTTP headers中自动带上存在Cookie中的信息。

鉴于每次请求浏览器都会自动带上Cookie中的数据,所以只要Server或Client有一个记得事先把数据放到Cookie中就可以了。

2.2 Server端存储信息,返回Client端一个凭据(没那么危险)

安全了一点,这个过程有点类似于:

小明:Client
银行:Server
银行卡:凭据

1、小明去银行登记了身份信息,并且开了一个银行账户。

2、银行当即给了小明一张银行卡,让小明下次凭着银行卡来办理业务。

3、小明第二次来到银行,捏着一张银行卡证明自己的身份,并且要办理业务。

4、银行通过银行卡调取了小明的基本信息,默认只要是捏着这张银行卡的人就是小明,于是熟练地为小明办理了业务。

机智的朋友们会发现这里有个问题,如果不是小明捏着银行卡来办业务,那么银行也会给“小明”办理业务的。对滴,那这样的话就会有CSRF(Cross Site Request Forgery),即跨站请求伪造的问题。网络世界可是危机四伏的喔!

2.2.1 凭据使用Cookie或直接写在URL中

由2.1可知,只要server能把信息给client,就能实现凭据的效果。一般才用Cookie的方式传递凭据,毕竟每次请求都要传,手工不仅累死还容易遗漏!

2.2.2 Session

Session其实就是小明登记在银行的个人信息。类比一下,Session中的信息存储在Server,是Client登记的,使用Cookie的方式传递凭据。

这篇关于Java for the Web With Servlets, JSP, and EJB(Part1-Chapter5)Session Management的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/885902

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

在cscode中通过maven创建java项目

在cscode中创建java项目 可以通过博客完成maven的导入 建立maven项目 使用快捷键 Ctrl + Shift + P 建立一个 Maven 项目 1 Ctrl + Shift + P 打开输入框2 输入 "> java create"3 选择 maven4 选择 No Archetype5 输入 域名6 输入项目名称7 建立一个文件目录存放项目,文件名一般为项目名8 确定