無狀態(tài)的 HTTP 協(xié)議
還記得每當入門一門 Web 端語言的進行服務器端開發(fā)的時候,僅次于「Hello World」的 demo 就是「登錄功能」了。實現(xiàn)登錄功能很簡單,驗證客戶端發(fā)送過來的賬戶和密碼,如果通過驗證就把用戶塞進 session 中,然后在后續(xù)的訪問中,只需檢測 session 是否有這個用戶就能知道用戶是否登錄了。Session 的中文翻譯為:「會話」,只屬于某一個客戶端和某一個服務器端溝通的工具。但,計算機網(wǎng)絡老師又說了,HTTP 協(xié)議是無狀態(tài)的,怎么能記錄用戶的登錄狀態(tài)呢?
鑒于 HTTP 是無狀態(tài)協(xié)議,之前已認證成功的用戶狀態(tài)是無法通過協(xié)議層面保存下來的,既,無法實現(xiàn)狀態(tài)管理,因此即使當該用戶下一次繼續(xù)訪問,也無法區(qū)分他和其他的用戶。于是我們會使用 Cookie 來管理 Session,以彌補 HTTP 協(xié)議中不存在的狀態(tài)管理功能。
利用 Cookie 管理 Session
步驟 1:客戶端把用戶 ID 和密碼等登錄信息放入報文的實體部分,通常是以 POST 方法把請求發(fā)送給服務器。
步驟 2:服務器會發(fā)放用以識別用戶的 Session ID。通過驗證從客戶端發(fā)送過來的登錄信息進行身份驗證,然后把用戶的認證狀態(tài)與 Session ID 綁定后記錄在服務器端。向客戶端返回響應時,會在首部字段 Set-Cookie 內(nèi)寫入 Session ID。
步驟 3:客戶端接收到從服務器端發(fā)來的 Session ID 后,會將其作為 Cookie 保存在本地。下次向服務器發(fā)送請求時,瀏覽器會自動發(fā)送 Cookie,所以 Session ID 也隨之發(fā)送到服務器。服務器端可通過驗證接收到的 Session ID 識別用戶和其認證狀態(tài)。
為 Cookie 服務的 HTTP 首部字段
- Set-Cookie
- Cookie
Set-Cookie
服務器管理狀態(tài)使用到的字段,用于響應首部
一則響應首部的 Set-Cookie 字段:
Set-Cookie: status=enable; expires= Tue, 05 Jul 2011 07:26:31 GMT; path=/; domain=.hackr.jp;
Set-Cookie 字段的屬性:
| 屬性 | 說明 |
|---|---|
| NAME=VALUE | 賦予 Cookie 的名稱和其值(必須項) |
| expires=DATE | Cookie 的有效期(若不明確指定則默認為瀏覽器關閉前為止) |
| path=PATH | 將服務器上的文件目錄作為 Cookie 的適用對象(若不指定則默認為文檔所在的目錄) |
| domain=域名 | 作為 Cookie 適用對象的域名(若不指定則默認為創(chuàng)建 Cookie 的服務器的域名) |
| Secure | 僅在 HTTPS 安全通信時才會發(fā)送 Cookie |
| HttpOnly | 加以限制,使 Cookie 不能被 Javascript 腳本訪問 |
Cookie
首部字段 Cookie 會告知服務器,當客戶端想獲得 HTTP 狀態(tài)管理支持時,就會在請求中包含從服務器接收到的 Cookie。接收到多個 Cookie 時,同樣可以以多個 Cookie 形式發(fā)送。
如果本文對您有用
請不要吝嗇你們的Follow與Start
這會大大支持我們繼續(xù)創(chuàng)作
「Github」
MZMonster :@MZMonster
JC_Huang :@JerryC8080
