第13章 Cookie与Session

Cookie会话相关知识点1. 什么是Cookie会话？Cookie是一种在用户计算机上存储的小型文本文件，用于保存用户的会话信息。

当用户访问一个网站时，网站服务器会将一个Cookie发送给用户的浏览器，然后浏览器将该Cookie存储在用户的计算机上。

之后，当用户再次访问该网站时，浏览器会将该Cookie发送给网站服务器，以便进行用户的识别和跟踪。

2. Cookie会话的作用- 用户识别：通过Cookie会话，网站可以识别用户的身份，以便提供个性化的服务，例如保存用户的登录状态。

- 跟踪用户行为：通过Cookie会话，网站可以跟踪用户在网站上的行为，例如用户浏览了哪些页面、点击了哪些链接等。

- 保存用户偏好设置：通过Cookie会话，网站可以保存用户的偏好设置，例如语言偏好、主题偏好等。

- 记住购物车信息：通过Cookie会话，网站可以保存用户的购物车信息，以便用户在后续访问时继续购物。

3. Cookie会话的工作原理- 用户访问一个网站时，网站服务器会生成一个唯一的会话ID，并将该ID保存在一个Cookie中。

- 服务器将该Cookie发送给用户的浏览器，并告诉浏览器将该Cookie保存在用户的计算机上。

- 浏览器将该Cookie保存在用户的计算机上，并在后续访问时发送给网站服务器。

-服务器通过会话ID识别用户，并根据需要进行相应的处理。

4. Cookie会话的属性- 名称：Cookie会话的名称，用于在浏览器中唯一标识该Cookie。

- 值：Cookie会话的值，用于保存用户的会话信息。

- 过期时间：Cookie会话的过期时间，可以设置为一个具体的日期时间，或者设置为一个相对时间（例如1小时后过期）。

- 域：Cookie会话的域，用于指定可以访问该Cookie的域名。

- 路径：Cookie会话的路径，用于指定可以访问该Cookie的路径。

- 安全标志：指定是否只有通过HTTPS协议才能访问该Cookie。

session的理解session是一种用于在Web应用程序中跟踪用户状态的机制。

在Web开发中，HTTP协议是无状态的，也就是说服务器无法直接区分不同用户的身份，每一次请求都是独立的。

然而，实际上经常需要区分用户身份，跟踪用户状态，记录用户行为等，这就需要使用session。

简单来说，session是在服务器端存储用户相关信息的一种机制。

当用户首次访问网站时，服务器会为该用户创建一个唯一标识的session ID，并将该ID发送到用户的浏览器端。

用户在后续的请求中，浏览器会通过发送Cookie携带session ID，从而让服务器能够识别该用户。

服务器可以根据session ID获取与该用户相关联的信息，并在处理请求时使用这些信息。

session的理解可以从以下几个方面展开：1. 创建和维护session：服务器端负责创建和维护session，通常使用一个唯一标识符来表示session，被称为session ID。

session ID可以通过Cookie发送到客户端，并在后续的请求中被客户端携带。

当用户首次访问网站时，服务器会为该用户创建一个新的session，生成一个唯一的session ID，并将其发送给客户端。

2. session与Cookie的关系：session通常依赖于Cookie来传递session ID。

服务器在响应中设置一个名为"session ID"的Cookie，并将其值设置为当前用户的session ID。

客户端在后续的请求中会自动携带该Cookie，服务器可以通过解析Cookie获取session ID，从而找到对应的session。

3. session存储方式：session数据可以存储在服务器端的内存、文件系统、数据库等不同的存储介质中。

常见的方式包括内存存储、文件存储和数据库存储。

不同的存储方式具有不同的优缺点，根据实际需求选择合适的存储方式。

session、cookie、token的区别及联系sessionsession的中⽂翻译是“会话”，当⽤户打开某个web应⽤时，便与web服务器产⽣⼀次session。

服务器使⽤session把⽤户的信息临时保存在了服务器上，⽤户离开⽹站后session会被销毁。

这种⽤户信息存储⽅式相对cookie来说更安全，可是session有⼀个缺陷：如果web服务器做了负载均衡，那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。

cookiecookie是保存在本地终端的数据。

cookie由服务器⽣成，发送给浏览器，浏览器把cookie以kv形式保存到某个⽬录下的⽂本⽂件内，下⼀次请求同⼀⽹站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加⼊了⼀些限制确保cookie不会被恶意使⽤，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，⼀般设置为全局:"\")、失效时间、安全标志(指定后，cookie 只有在使⽤SSL连接时才发送到服务器(https))。

下⾯是⼀个简单的js使⽤cookie的例⼦:⽤户登录时产⽣cookie:document.cookie = "id="+result.data['id']+"; path=/";document.cookie = "name="+result.data['name']+"; path=/";document.cookie = "avatar="+result.data['avatar']+"; path=/";使⽤到cookie时做如下解析：var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];}$('#user_name').text(user_info[' name']);$('#user_avatar').attr("src", user_info[' avatar']);$('#user_id').val(user_info[' id']);tokentoken的意思是“令牌”，是⽤户⾝份的验证⽅式，最简单的token组成:uid(⽤户唯⼀的⾝份标识)、time(当前时间的时间戳)、sign(签名，由token的前⼏位+盐以哈希算法压缩成⼀定长的⼗六进制字符串，可以防⽌恶意第三⽅拼接token请求服务器)。

一、单选题1、以下关于Cookie的说法正确的是（）。

A. Cookie就像蠕虫病毒一样，可以清除用户硬盘上的数据B. Cookies仅是数据，不是程序代码C. Cookie是间谍软件的一种形式，可以窃取你的个人信息D. Cookie生成弹出窗口和垃圾邮件正确答案：B2、对于会话cookie，以下说法正确的是（）。

A.当浏览器关闭后，临时cookies将被删除B.可以跟踪长期信息C.用户可以打开cookie文件，查看/更改cookie值D.潜在的安全性较差正确答案：A3、在JavaScript中，可以通过（）来删除当前页面中给定的cookie。

A. cookie.setB. cookie.removeC. cookie.clearD. cookie.get正确答案：B4、PHP中关于删除cookie不正确的是（）。

A. setcookie(“stu_ID”, 42, time()-1)B. setcookie(“stu_ID”, False)C. setcookie(“stu_ID”, “100001”)D.删除浏览器中的cookie正确答案：C5、以前使用过的session，在重新使用之前必须做（）操作才能避免之前的session不会被保留。

A. session_destroyB. session_startC. session_regenerate_idD. session_unset正确答案：C二、多选题1、以下属于Cookies用途的是（）。

A.维护用户偏好B.认证C.用户跟踪D.地址转向正确答案：A、B、C2、关于session的说法正确的是（）。

A.在用户注销或关闭浏览器之前可以一直存在B.会话很难被恶意用户篡改或删除C.保护私人信息不被计算机的其他用户看到D.数据一般存储在服务器上正确答案：A、B、C、D三、判断题1、Cookies很难被恶意用户篡改或删除。

（）正确答案：×解析：Cookies不行，Session可以2、session_start必须在脚本顶部调用，在生成任何HTML输出之前调用。

第5章一、填空1.服务器向客户端发送Cookie时，会在HTTP响应头字段中增加____响应头字段。

2.Web应用中的会话指的是一个客户端（浏览器）与____之间连续发生的一系列请求和响应过程。

3.Session相对于Cookie具有更高的安全性，它将关键数据保存在____端。

4.在Servlet技术中，提供了两个用于保存会话数据的对象，分别是____和Session。

5.Tomcat容器中会话的有效时间可以在____文件中设置，默认会话过期时间为30分钟。

二、判断1.Tomcat容器中如果将元素中的时间值设置成0或一个负数，则表示会话永不超时。

2.Session是一种将会话数据保存到服务器端的技术，需要借助Cookie技术来实现。

3.Cookie的domain属性是用来指定浏览器访问的域，设置domain属性时严格区分大小写。

4.Cookie的path属性设置后，只对当前访问路径所属的目录有效。

5.一次会话过程中，只允许客户端与服务器进行一次请求与响应过程。

三、选择1.下列对于setMaxAge(-1)方法的描述中，正确的是（）A: 表示通知浏览器保存这个Cookie信息B: 表示通知浏览器立即删除这个Cookie信息C: 表示当浏览器关闭时，Cookie信息会被删除D: 以上说法都是错误的2.Tomcat服务器的默认会话超时时间是（）A: 30秒B: 30分钟C: 30毫秒D: 30小时3.下面选项中，用于强制使Session对象无效的方法是（）A: request. invalidate ();B: session. validate ();C: response. invalidate ();D: session. invalidate ();4.下面选项中，当存在Session对象直接返回，否则返回null的方法是（）A: request.getSession();B: request.getSession(true);C: request.getSession(false);D: response.getSession();5.下列选项中，能够用于获取客户端所有cookie对象的方法是（）A: List cookies = request.getCookies();B: Cookie[] cookies = request.getCookies();C: List cookies = response.getCookies();D: Cookie[] cookies = response.getCookies();四、简答1.简述什么是会话技术？会话过程类似于生活中的打电话过程，它指的是一个客户端（浏览器）与Web 服务器之间连续发生的一系列请求和响应过程。

写cookie,取cookie1、添加cookies（用户信息保存，修改都会依赖cookies）HttpCookie cookies = newHttpCookie("Porschev");cookies["name"] = "Zhong Wei";cookies["sex"] = "1";cookies.Expires = DateTime.Now.AddMinutes(20);Response.Cookies.Add(cookies);2、修改cookies( 在程序中难免会操作，对用户信息的修改，更新数据库后，也会修改cookies，为了修改后的显示)方法一：HttpCookie cookies =Request.Cookies["Porschev"];cookies["name"] = "wilson Z";再取cookies中的name，结果：wilson Z;当这样修改cookies 时,在更新方法中再取这个名为Porschev的cookies，name 的值还为Zhong Wei而非wilson Z，页面显示也不对（己排除页面缓存原因，更新也确实没有成功）修改方法一：HttpCookie cookies =Request.Cookies["Porschev"];cookies["name"] = "wilson Z";//加上下面一句Response.Cookies["Porschev"].Expires = DateTime.Now.AddMinutes(-1);再次测式，结果正确，取出name的值为：wilson Z,页面显示也正确。

DateTime.Now.AddMinutes(-1)让以前存入过期时间为20min的cookies失效3、得到cookiesHttpCookie cookies =Request.Cookies["Porschev"];string name = cookies["name"]; //通过key取出对应value，多key同理取4、删除cookies方法一：（最常用的一个删除cookies方法）if (Request.Cookies["Porschev"] != null){HttpCookie cookies = newHttpCookie("Porschev");cookies.Expires =DateTime.Now.AddDays(-1);Response.Cookies.Add(cookies);}在项目中测式，删除部分cookies失败，于是换一种方法foreach (string cookiename inRequest.Cookies.AllKeys){HttpCookie cookies =Request.Cookies[cookiename];if (cookies != null){cookies.Expires =DateTime.Today.AddDays(-1);Response.Cookies.Add(cookies);Request.Cookies.Remove(cookiename);}}方法一只能删除提当前Response中的cookies，不对完成删除掉客端的cookies,用遍历cookies的方式可以 Session的用法Session简介：简单来说就是服务器给客户端的一个编号。

Vue使⽤cookie和session Vue使⽤cookie和session⼀：cookie和session 为了防⽌数据运输或存储终端，特地设置了cookie和session，他们其实都是将数据存储当地。

cookie数据保存在客户端，session数据保存在服务器端 所以⼀般session的使⽤会⽐cookie的使⽤会更加安全，将登陆信息等重要信息存放为SESSION;其他信息如果需要保留，可以放在COOKIE中。

防⽌服务器端数据泄露，当然，同时session的⾼安全与⾼访问量也会导致服务器性能占⽐也会⼤很多。

⼆：vue使⽤cookie//1.引⼊cookie依赖npm install vue-session/vue-cookies --save//2.给main.js配置使⽤：import Vuecookie/Vuesession from 'vue-cookie/vue-session'e(Vuecookie/Vuesession)//3.使⽤：this.$session.set("key",value);//创建session，或者再加⼀个表⽰持续时间的参数this.$session.get("key");//获取session对象三：Vue-cookie处理cookie//1.同上导⼊依赖//2.配置main.jsimport cookie from 'vue-cookie'Vue.prototype.$cookie=cookie//创建本地cookie//3.组件当中使⽤：create(){this.$cookie.set('token',"asdasd")}mouted(){this.$cookie.get('token')}destory(){this.$cookie.delete('token')}//4.设置到期时间：this.$cookies.config('固定时间') //填的值1d为⼀天,1h为⼀⼩时,1min为⼀分钟,1s为1秒//指定时间this.$cookies.config(new Date(2020,12,1))this.$cookies.config("Sat, 13 Mar 2017 12:25:57 GMT")//不写过期时间，默认为1天过期this.$cookies.set("user_session","25j_7Sl6xDq2Kc3ym0fmrSSk2xV2XkUkX")四：cookie参数：默认：$cookies.config(expireTimes[,path[, domain[, secure[, sameSite]]])默认: expireTimes = 1d, path = '/', domain = '', secure = '', sameSite = ''1. key : cookie名2. value : cookie值, vue-cookie 会⾃动帮你把对象转为:json if (value && value.constructor === Object ){value = JSON.stringify(value)}3. expireTimes : cookie有效时间，默认时间为1d 可为到期时间点(expire=) [Date]，也可为有效时间段单位s(max-age=)[Number]，传⼊Infinity||-1被认该cookie永久有效，传⼊0 会被判断为false导致取默认值，传⼊⾮-1 的负数会⽴即删除该cookie，传⼊String类型但⼜不会被正则匹配的('0'、'abc'、'Session')则关闭浏览器的时候销毁cookie(Expire/Max-Age=Session)，效果类似Session。

5、session⽤法⾃⼰记录看着⽅便⼀、Session简单介绍 在WEB开发中，服务器可以为每个⽤户浏览器创建⼀个会话对象（session对象），注意：⼀个浏览器独占⼀个session对象(默认情况下)。

因此，在需要保存⽤户数据时，服务器程序可以把⽤户数据写到⽤户浏览器独占的session中，当⽤户使⽤浏览器访问其它程序时，其它程序可以从⽤户的session中取出该⽤户的数据，为⽤户服务。

⼆、Session和Cookie的主要区别Cookie是把⽤户的数据写给⽤户的浏览器。

Session技术把⽤户的数据写到⽤户独占的session中。

Session对象由服务器创建，开发⼈员可以调⽤request对象的getSession⽅法得到session对象。

三、session实现原理3.1、服务器是如何实现⼀个session为⼀个⽤户浏览器服务的？ 服务器创建session出来后，会把session的id号，以cookie的形式回写给客户机，这样，只要客户机的浏览器不关，再去访问服务器时，都会带着session的id号去，服务器发现客户机浏览器带session id过来了，就会使⽤内存中与之对应的session为之服务。

可以⽤如下的代码证明：1 package xdp.gacl.session;23 import java.io.IOException;4 import javax.servlet.ServletException;5 import javax.servlet.http.HttpServlet;6 import javax.servlet.http.HttpServletRequest;7 import javax.servlet.http.HttpServletResponse;8 import javax.servlet.http.HttpSession;910 public class SessionDemo1 extends HttpServlet {1112 public void doGet(HttpServletRequest request, HttpServletResponse response)13 throws ServletException, IOException {1415 response.setCharacterEncoding("UTF=8");16 response.setContentType("text/html;charset=UTF-8");17 //使⽤request对象的getSession()获取session，如果session不存在则创建⼀个18 HttpSession session = request.getSession();19 //将数据存储到session中20 session.setAttribute("data", "孤傲苍狼");21 //获取session的Id22 String sessionId = session.getId();23 //判断session是不是新创建的24 if (session.isNew()) {25 response.getWriter().print("session创建成功，session的id是："+sessionId);26 }else {27 response.getWriter().print("服务器已经存在该session了，session的id是："+sessionId);28 }29 }3031 public void doPost(HttpServletRequest request, HttpServletResponse response)32 throws ServletException, IOException {33 doGet(request, response);34 }35 } 第⼀次访问时，服务器会创建⼀个新的sesion，并且把session的Id以cookie的形式发送给客户端浏览器，如下图所⽰： 点击刷新按钮，再次请求服务器，此时就可以看到浏览器再请求服务器时，会把存储到cookie中的session的Id⼀起传递到服务器端了，如下图所⽰： 我猜想request.getSession()⽅法内部新创建了Session之后⼀定是做了如下的处理1 //获取session的Id2 String sessionId = session.getId();3 //将session的Id存储到名字为JSESSIONID的cookie中4 Cookie cookie = new Cookie("JSESSIONID", sessionId);5 //设置cookie的有效路径6 cookie.setPath(request.getContextPath());7 response.addCookie(cookie);四、浏览器禁⽤Cookie后的session处理4.1、IE8禁⽤cookie ⼯具->internet选项->隐私->设置->将滑轴拉到最顶上（阻⽌所有cookies）4.2、解决⽅案：URL重写 response.encodeRedirectURL(ng.String url) ⽤于对sendRedirect⽅法后的url地址进⾏重写。

基于Cookie和Session的身份认证机制的研究与实现作者：姜晗任翠池王磊来源：《中国教育技术装备》2014年第04期摘要 Cookie是解决HTTP协议无状态性的主要方法，是实现Web认证的主要手段。

通过系统分析Cookie的工作原理和应用特点，指出该认证机制容易遭受安全的威胁，提出并实现一种安全性较高的基于Cookie和Session相结合的身份认证的机制。

关键词 Cookie安全；Session；时间随机码；RSA公钥加密算法中图分类号：TP393 文献标识码：B文章编号：1671-489X（2014）04-0036-02以Web技术为代表的Internet网络技术的迅速发展，促使人类社会正逐渐进入一个以Internet为中心的信息时代。

应用层协议HTTP是Web应用的实现基础，而HTTP协议本身是一种无状态的协议，不能记录客户端的状态信息。

然而Web应用系统中很多情况下都需要维持这种状态信息，HTTP协议的这种无状态、面向非连接的缺陷很不利于Web应用的发展。

为了解决这个问题，由Netscape公司推出了一项HTTP的状态管理机制——Cookie。

Cookie的出现弥补了HTTP协议无状态、面向无连接的缺陷，为应用系统记录客户端的状态信息以及对访问者进行身份认证等操作程序的开发带来很大方便。

然而，由于Cookie信息在存储和传送过程中都是以明文形式进行的，当Cookie被作为一项便利的工具在Web中大量使用时，其安全性不得不引起用户的注意。

本文主要分析Cookie的工作原理及应用特点，找出运用Cookie存在的安全隐患。

针对这些安全隐患，提出并实现基于Cookie和Session相结合的身份认证机制，并且利用RSA公钥加密算法对Cookie信息进行加密，提高身份认证机制的安全性。

1 Cookie的工作原理及应用分析根据Netscape公司的官方文档中的定义，Cookie是指在HTTP协议下，服务器或脚本可以维护客户端计算机上信息的一种方式[1]。