web会话管理方式详解

目前流行的web业务系统,只要存在动态请求,就绕不开用户管理的基础组件------会话管理,本文将阐述几种常用的会话管理方式。

什么是会话管理

http短连接的问题:无状态,请求中没有用户信息,无法确定请求发起方是谁,从而进行进一步的鉴权以及业务处理。 会话简单来说,就是指用户从登录到退出的这个时间窗口,以及发生在这个窗口内的一系列业务操作。 而管理会话的机制就是"会话管理"。

会话管理的方式

从web应用开发的发展过程中,大致出现了三种会话管理方式。

session-based 管理方式

实现

1)用户登录后,服务端会为该用户生成一个session对象,其中包含用户的登录凭据,该对象有一个唯一标识,称为sessionid。

2)服务端通过set-cookie,以cookie:sessionid=xxxx的形式将sessionid同步给客户端。

3)客户端在接下来的请求中会依赖于cookie的机制,把sessionid带给服务端,这样服务端就能够通过该id获知请求的是哪个用户,其登录凭据是否有效。

4)session会被设定有效期,例如2小时,在超出有效期之后,服务端就会销毁对应session对象。一般在设计时,服务端在session有效期内收到请求后,会自动把session的有效期重新设置。

优缺点

  • 优点

1)安全,因为存到客户端的只是sessionid,并且其一般是无规则的,不好破解

2)实现简单

  • 缺点

1)用户在线数量多时,占用存储空间多

2)服务端节点多的时候,session信息必须共享,需要相应的同步机制

3)多个应用要共享sessionid,需要做cookie跨域处理

cookied-based 管理方式针对session-based存在的服务端存储和架构问题,推出了将凭证信息直接保存到客户端cookie的管理方式。

实现

1)用户登录后,服务端为用户生成登录凭证,并对该凭证进行签名和加密处理。签名是为了防止凭证被篡改,加密是为了在传输过程中,凭证细节被明文截获。凭证最简单的内容可以是uid。

2)服务端使用set-cookie将上述凭证设置到客户端,需要设置cookie有效期,例如2小时

3)客户端在接下来的请求中会依赖于cookie的机制,把凭证带给服务端,服务端解密后,校验凭证是否有效,是否被篡改。确认凭证有效后,根据凭证内容获得请求用户信息

优缺点

  • 优点

1)服务端不需要存储凭证,无状态

2)当服务端多节点时,只要保证使用相同的密钥,可以对凭证进行加解密,并且保证签名算法相同即可

  • 缺点

1)使用cookie保存,受cookie空间大小限制

2)多个应用要共享sessionid,需要做cookie跨域处理

token-based 管理方式

由于cookie-based受cookie机制的限制,因此又提出了一种新的方式,token-based管理方式。 这种管理方式的实现,和cookie-based方式很像,差别是凭证存储的方式不是cookie,而是由客户端通过本地存储进行保存。

实现

1)用户登录后,服务端为用户生成登录凭证,并对该凭证进行签名和加密处理。签名是为了防止凭证被篡改,加密是为了在传输过程中,凭证细节被明文截获。凭证最简单的内容可以是uid。最后生成的就是token。

2)服务端将token填入返回内容,返回给客户端

3)客户端将token保存到本地存储中

4)客户端在接下来的请求中会把token通过url参数或者header的方式带给服务端,服务端解密后,校验凭证是否有效,是否被篡改。确认凭证有效后,根据凭证内容获得请求用户信息

优缺点

  • 优点

1)服务端,无需存储token,无状态

2)当服务端多节点时,只要保证使用相同的密钥,可以对凭证进行加解密,并且保证签名算法相同即可

3)不受制于cookie大小限制

4)可以将token扩展为access_token+refresh_token的双token机制,提供access_token自动刷新机制

  • 缺点

1)相对于session-based管理方式,如果想在服务端侧强制限制用户访问,需要增加额外的token过期机制,很类似于服务端存储session对象的机制。

总结

总的来说,token-based管理方式应该是当下最流行的会话管理方式,在增加了token过期机制后,该管理方式可以应对大部分的业务场景。

相关推荐
程序员张33 小时前
SpringBoot计时一次请求耗时
java·spring boot·后端
程序员岳焱9 小时前
Java 与 MySQL 性能优化:Java 实现百万数据分批次插入的最佳实践
后端·mysql·性能优化
麦兜*9 小时前
Spring Boot启动优化7板斧(延迟初始化、组件扫描精准打击、JVM参数调优):砍掉70%启动时间的魔鬼实践
java·jvm·spring boot·后端·spring·spring cloud·系统架构
大只鹅10 小时前
解决 Spring Boot 对 Elasticsearch 字段没有小驼峰映射的问题
spring boot·后端·elasticsearch
ai小鬼头10 小时前
AIStarter如何快速部署Stable Diffusion?**新手也能轻松上手的AI绘图
前端·后端·github
IT_102410 小时前
Spring Boot项目开发实战销售管理系统——数据库设计!
java·开发语言·数据库·spring boot·后端·oracle
bobz96511 小时前
动态规划
后端
stark张宇11 小时前
VMware 虚拟机装 Linux Centos 7.9 保姆级教程(附资源包)
linux·后端
亚力山大抵12 小时前
实验六-使用PyMySQL数据存储的Flask登录系统-实验七-集成Flask-SocketIO的实时通信系统
后端·python·flask
超级小忍12 小时前
Spring Boot 中常用的工具类库及其使用示例(完整版)
spring boot·后端