内容导航
会话标识的获取与理解
认识客户端标识机制
服务器端会话管理解析
两种机制的主要差异
客户端标识的读取方法
服务器会话的存取操作
请求头信息处理
用户代理信息提取
会话标识的获取与理解
认识客户端标识机制
HTTP协议本身不具备状态保持特性,但在实际应用场景中,我们经常需要追踪请求之间的关联性。
图示中的”身份凭证”通常保存在客户端标识字段中。
服务器端需要记录这些凭证信息及其对应的用户数据,这正是会话管理机制的核心功能。
服务器端会话管理解析
首先我们需要明确什么是交互过程。
交互过程:指双方的信息交流
在计算机系统中,交互过程指客户端与服务器之间持续进行的请求响应循环。服务器需要能够识别每个请求的来源是否属于同一用户。当新用户首次访问Web应用时,就会建立新的交互过程。
当用户主动终止交互或服务器在设定时间内未收到请求时,该交互过程即告结束。
由于服务器需要同时处理大量请求,必须准确区分每个请求所属的用户会话,因此需要在服务端维护会话与用户信息的映射关系。
会话对象是服务器专门用于存储用户信息的特殊数据结构。
会话本质上是一种键值对集合,其中键为会话标识符,值则为用户数据(可根据需求灵活设计用户信息结构)。
会话标识符是由服务端生成的唯一字符串,从会话管理角度看称为”会话ID”。但从完整登录流程来看,也可称为”访问令牌”。
示例中的凭证ID可视为会话ID,但实际令牌可能还包含其他信息如时间戳、数字签名等。
1. 用户登录时,服务器创建新会话记录,并通过响应头将标识符返回客户端
2. 客户端后续请求需携带该标识符
3. 服务器根据标识符查找对应用户信息,若未找到则新建会话
默认情况下会话数据存储在内存中,服务重启会导致数据丢失。
两种机制的主要差异
• 客户端标识机制在用户端存储信息,会话管理在服务端存储信息
• 两者通过会话ID建立关联
• 虽然常配合使用,但并非必须
• 客户端标识可存储各种数据,不限于身份信息
• 会话ID可通过多种方式传递,不限于特定字段
1. 存储位置差异
客户端标识:保存在用户浏览器中。服务器通过响应头设置,浏览器后续请求自动携带。
会话管理:存储在服务端。服务器生成唯一标识并通过多种方式(如URL重写)发送给客户端。
安全特性对比
客户端标识:存在被窃取风险,但可通过安全标记增强防护
会话管理:相对更安全,但标识泄露仍可能导致安全问题容量限制
客户端标识:受浏览器限制
会话管理:主要取决于服务器配置生命周期管理
客户端标识:可设置有效期
会话管理:由服务器配置决定适用场景
客户端标识:适合存储少量数据
会话管理:适合存储重要或大量数据
客户端标识的读取方法
首先设置客户端标识
读取示例:
@RequestMapping("/getC")
public String readClientIdentifier(HttpServletRequest request){
Cookie[] identifiers = request.getCookies();
if (identifiers!=null){
Arrays.stream(identifiers).forEach(id ->
System.out.println(id.getName()+":"+id.getValue()));
}
return "读取客户端标识";
}
简化版实现:
@RequestMapping("/getC2")
public String readClientIdentifierSimple(@CookieValue("name") String name){
return "从客户端标识获取值, name:"+name;
}
服务器会话的存取操作
会话是服务端机制,需要先存储后读取。
会话操作基于HttpServletRequest实现。
存储会话
@RequestMapping("/setSess")
public String storeSession(HttpServletRequest request){
HttpSession userSession = request.getSession();
userSession.setAttribute("name", "zhangsan");
return "会话存储成功";
}
读取会话:
@RequestMapping("/getSess")
public String retrieveSession(HttpServletRequest request){
HttpSession userSession = request.getSession();
String name = (String)userSession.getAttribute("name");
return "从会话获取name:"+name;
}
简化版实现:
@RequestMapping("/getSess2")
public String retrieveSessionSimple(HttpSession session){
String name = (String)session.getAttribute("name");
return "从会话获取name:"+name;
}
@RequestMapping("/getSess3")
public String retrieveSessionAdvanced(@SessionAttribute("name") String name){
return "从会话获取name:"+name;
}
请求头信息处理
用户代理信息提取
@RequestMapping("/getHeader")
public String processHeader(HttpServletRequest request){
String clientInfo = request.getHeader("User-Agent");
return "请求头信息提取, clientInfo:"+clientInfo;
}
简化版实现:
@RequestMapping("/getHeader2")
public String processHeaderSimple(@RequestHeader("User-Agent") String clientInfo){
return "请求头信息提取, clientInfo:"+clientInfo;
}
