文章目录
- 一、web会话管理概述
-
- [1.1 会话管理](#1.1 会话管理)
- [1.2 为什么需要会话管理?](#1.2 为什么需要会话管理?)
- [1.3 常见的web应用会话管理的方式](#1.3 常见的web应用会话管理的方式)
- 二、会话管理方式
-
- [2.1 基于server端的session的管理方式](#2.1 基于server端的session的管理方式)
- [2.2 cookie-based的管理方式](#2.2 cookie-based的管理方式)
- [2.3 token-based的管理方式](#2.3 token-based的管理方式)
- 三、安全问题
一、web会话管理概述
1.1 会话管理
在人机交互时,会话管理是保持用户的整个会话活动的互动与计算机系统跟踪过程。会话管理分类:桌面会话管理、浏览器会话管理、web服务器的会话管理。
1.2 为什么需要会话管理?
HTTP是一种无状态协议,一次请求结束,客户端与服务器的连接就会断开,服务器再次收到请求时,无法识别此次请求是哪个用户发过来的,需要重新建立连接。为了判断发送请求的用户,需要一种记录用户的方式,也就是web应用会话管理。
1.3 常见的web应用会话管理的方式
- 基于server端的session的管理方式
- cookie-based的管理方式
- token-based的管理方式
二、会话管理方式
2.1 基于server端的session的管理方式
在早期的web应用中,通常使用服务端session来管理用户的会话。
服务端session使用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的session ID,以保证每个用户都有一个不用的session对象。
服务器在创建完session后,会把session ID通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求的时候,就会通过cookie把session ID传回给服务器,以便服务器能够根据session ID找到该用户对应的session对象。
session 通常设定有效时间,比如1小时。当时间失效后,服务器会销毁之前的session,并创建新的session返回用户。但是只要用户在失效时间内,有发送新的请求给服务器,通常服务器都会把他对应的session的有效时间根据当前的请求时间再重新刷新。
session在一开始并不具备会话管理的作用。它只有在用户登录认证成功之后,并且往session对象里面放入了用户登录成功的凭证,才能用来管理会话。管理会话的逻辑也很简单,只要拿到用户的session对象,看它里面有没有登录成功的凭证,就能判断这个用户是否已经登陆。当用户主动退出时,会把它的session对象里的登录凭证清掉。所以在用户登录前或退出后或者session对象失效时,肯定都是拿不到需要的登录凭证的。
session实现会话管理的流程图:
2.2 cookie-based的管理方式
session的管理方式会增加服务器的负担和架构的复杂性,所以后来就提出把用户的登录凭证直接存在客户端的方案,当用户登陆成功后,把登录凭证写到cookie里面,并给cookie设置有效期,后续请求直接验证存有登录凭证的cookie是否存在以及凭证是否有效,即可判断用户的登录状态。
> Cookie与Session最大的区别:
>- Cookie将数据存储在客户端
>- Session将数据存储在服务端
用户发起登录请求,服务端根据传入的用户密码之类的身份信息,验证用户是否满足登录条件,如果满足,就根据用户信息创建一个登录凭证,这个登陆凭证简单来说就是一个对象,最简单的形式可以只包含用户id、凭证创建时间和过期时间三个值。
服务端把上一步创建好的登陆凭证,先对它进行数字签名,然后再用对称加密算法做加密处理,将签名、加密后的字串,写入cookie。cookie的名字必须固定(如ticket),因为后面再获取的时候,还得根据这个名字来获取cookie值。这一步添加数字签名的目的时防止登录凭证里的信息被篡改,因为一旦信息被篡改,那么下一步做签名验证的时候肯定会失败。做加密的目的是,防止cookie一旦被别人截取的时候,无法轻易读取到其中的用户信息。
用户登录后发起后续请求,服务端会根据上一步存登录凭证的cookie名字,获取到相关的cookie值。然后先做解密处理,再做数字签名的认证,如果这两部都失败,说明这个登录凭证非法;如果这两步成功,接着就可以拿到原始存入的登录凭证了。然后用这个凭证的过期时间和当前时间做对比,判断凭证是否过期,如果过期,就需要用户再重新登录;如果未过期,则允许请求继续。
cookie实现会话管理的流程:
优点:
-
实现了服务端的无状态化,服务端只需要负责创建和验证登录cookie即可,无需保持用户的登陆状态。
-
cookie可以跨越同域名下的多个网页,但不能跨越多个域名使用。
-
可以设置有效期限,控制cookie的生命周期,使之不会永久有效。
缺点:
- cookie有大小限制,存储不了太多数据。
- 同样存在跨域问题(不同域名无法相互读取cookie)。
2.3 token-based的管理方式
Session和Cookie两种会话管理方式由于都要用到cookie,不适合用在native app里面,因为native app不是浏览器,不好管理cookie,因此都不适合做纯API服务的登录认证。是实现API服务的登录认证,就需要用到token-based的会话管理方式。
token-based的管理方式在流程上和实现上跟cookie-based的管理方式没有太多区别,只不过cookie-based的管理方式中写道cookie里面的ticket再这种方式下被称为token,这个token在返回给客户端后,后续请求都必须通过url参数或者http header的形式,主动带上token,这样服务端接收到请求后就能直接从http header或者url里面渠道token进行验证。
token实现会话管理的方式:
优点:
- 支持跨域访问:cookie不支持跨域访问,token支持。
- 无状态:Token无状态,session有状态(有状态和无状态的最大区别就是服务端会不会保存客户端的信息)。
- 支持移动设备:Token更适合移动应用,cookie不支持手机端访问。
缺点:
-
占带宽:正常情况下Token要比session id更大,需要消耗更多的流量,挤占更多的带宽。'
-
无法在服务端注销,很难解决劫持问题。
三、安全问题
在web应用里,会话管理的安全性始终是最重要的安全问题,对用户的影响极大。
从会话管理凭证来说,session会话管理的会话凭证仅仅是一个session ID,所以只要这个session ID足够随机,那么攻击者就不会轻易地冒充别人的session ID进行操作;cookie会话管理的凭证(ticket)以及Token会话管理凭证(token)都是一个在服务端做了数字签名和加密处理的串,只要密钥不泄露,攻击者也无法轻易拿到这个串中有效信息并对它进行篡改。总之,这三种会话管理方式的凭证本身是比较安全的。
从客户端和服务端的HTTP过程来说,当攻击者截获到客户端请求中的会话凭证,就能拿到这个凭证冒充原用户,做一些非法操作,而服务器也认不出来。这种安全问题,可以简单采用HTTPS来解决。