会话用来做什么:
它是用来维持请求和请求之间的状态。http请求默认是完全无状态的,也就是说,当用户浏览器把一个完整的请求发送到服务器,等到服务器接收完全部的请求,在此之后,用户的浏览器与服务器之间再也没人什么联系。当用户浏览器发送下一个请求,那么这个请求无法与之前的请求关联起来。这样会导致什么后果?以在线商城为例子,用户需要在不同的商品页面中浏览,当把其中一个商品添加到购物车后,然后再去找其他商品并添加到购物车。若采用采用无状态的连接,也就是前后两次请求无法关联起来,购物车里并不包含前一次添加进来的商品。所以你只能在当前请求还没有结束之前把账单结了,也就是一次只能付款一个商品,无法做到一次性付款所有商品。
会话的工作原理:
会话是由服务器或web应用程序管理的某些文件、内存片段、对象或容器,它包含了分配给它的各种不同的数据。可以把它理解为一个可以存储之前请求的空间,服务器会把某个用户的会话保存在本机中,当下一次用户再发送请求到服务器,会把当前的请求与会话中存储的请求关联起来。
若采用了会话技术,那么在用户浏览器发送第一个请求到服务器,服务器会为该用户开辟一段空间用来保存会话内容,并生成一个唯一的会话ID用来标识该用户。当服务器返回响应时,会在响应段中添加会话ID。接下来,从该用户浏览器发出的每个请求都将包含这个会话ID,当Web应用程序接收到含有会话ID的请求时,它可以通过该ID将现有的会话与当前的请求关联起来。
走进会话Cookie:
它是一种通信机制,可以通过Set-Cookie响应头在服务器和浏览器之间传递任意的数据,并存储在用户计算机中,然后再通过请求头Cookie从浏览器返回到服务器中。
在JavaEE中会话Cookie的名字默认是JSESSIONID
Cookie有哪些特性:
1.Domain:告诉浏览器将cookie发送到哪个域名中
2.Path:将cookie发送到某个域名下的某个URL
3.Expires:定义了Cookie的绝对过期日期
4.Max-Age:定义了Cookie的存活时间,以秒为单位
ps:若Cookie中不包含Expires和Max-Age这两个特性,那么该Cookie将在浏览器关闭时被删除
5.Secure:浏览器只会通过HTTPS发送Cookie。
6.HttpOnly:只能通过直接的浏览器请求发送cookie,其他技术如JavaScript、Flash将无法发送Cookie
如何在请求URL中包含会话ID:
会话ID需要作为第一个响应返回给用户浏览器,如何生成会话ID?需要把会话ID添加到每个应用程序返回的URL中,包括页面的链接、表单操作以及302重定向。
可以通过HttpServletResponse接口中的两个方法encodeURL()和encodeRedirectURL()将会话ID内嵌到URL中。任何在链接、表单操作或者其他标签中的URL都将被传入到encodeURL()方法中,然后返回一个正确的、经过编码处理的URL。任何可以传入sendRedirect()中的URL都可以传入encodeRedirectURL()方法中,返回一个正确的、经过编译处理的URL。
URL中内嵌会话ID会带来什么后果:
如果将该URL复制到公共场所,如果恶意用户发现了该链接,可以使用劫持用户的会话。他将可以修改账户地址、获取密码重置链接并终修改密码。
攻击者通过URL或者检查浏览器的Cookie获得会话ID,然后将含有会话ID的URL发送给目标用户,当用户点击链接进入网站时,它的会话ID就换成了URL中含有的固定ID-----攻击者已经持有该ID。如果用户接着在该会话期间登录网站,那么攻击者也可以登录成功,因为这个会话ID是他分享的,因此他也可以访问用户的账号。这个可以通过禁止在URL中内嵌会话ID或者设置登录后会话迁移(当用户登录时,修改会话ID或者将会话信息复制到新的会话中,并使之前的会话无效)