主頁 > 後端開發 > goweb- session和資料存盤

goweb- session和資料存盤

2020-09-15 18:48:25 後端開發

session和資料存盤

Web開發中一個很重要的議題就是如何做好用戶的整個瀏覽程序的控制,因為HTTP協議是無狀態的,所以用戶的每一次請求都是無狀態的,我們不知道在整個Web操作程序中哪些連接與該用戶有關,我們應該如何來解決這個問題呢?Web里面經典的解決方案是cookie和session,cookie機制是一種客戶端機制,把用戶資料保存在客戶端,而session機制是一種服務器端的機制,服務器使用一種類似于散串列的結構來保存資訊,每一個網站訪客都會被分配給一個唯一的標志符,即sessionID,它的存放形式無非兩種:要么經過url傳遞,要么保存在客戶端的cookies里.當然,你也可以將Session保存到資料庫里,這樣會更安全,但效率方面會有所下降,

session和cookie

session和cookie是網站瀏覽中較為常見的兩個概念,也是比較難以辨析的兩個概念,但它們在瀏覽需要認證的服務頁面以及頁面統計中卻相當關鍵,我們先來了解一下session和cookie怎么來的?考慮這樣一個問題:

如何抓取一個訪問受限的網頁?如新浪微博好友的主頁,個人微博頁面等,

顯然,通過瀏覽器,我們可以手動輸入用戶名和密碼來訪問頁面,而所謂的“抓取”,其實就是使用程式來模擬完成同樣的作業,因此我們需要了解“登錄”程序中到底發生了什么,

當用戶來到微博登錄頁面,輸入用戶名和密碼之后點擊“登錄”后瀏覽器將認證資訊POST給遠端的服務器,服務器執行驗證邏輯,如果驗證通過,則瀏覽器會跳轉到登錄用戶的微博首頁,在登錄成功后,服務器如何驗證我們對其他受限制頁面的訪問呢?因為HTTP協議是無狀態的,所以很顯然服務器不可能知道我們已經在上一次的HTTP請求中通過了驗證,當然,最簡單的解決方案就是所有的請求里面都帶上用戶名和密碼,這樣雖然可行,但大大加重了服務器的負擔(對于每個request都需要到資料庫驗證),也大大降低了用戶體驗(每個頁面都需要重新輸入用戶名密碼,每個頁面都帶有登錄表單),既然直接在請求中帶上用戶名與密碼不可行,那么就只有在服務器或客戶端保存一些類似的可以代表身份的資訊了,所以就有了cookie與session,

cookie,簡而言之就是在本地計算機保存一些用戶操作的歷史資訊(當然包括登錄資訊),并在用戶再次訪問該站點時瀏覽器通過HTTP協議將本地cookie內容發送給服務器,從而完成驗證,或繼續上一步操作,

session,簡而言之就是在服務器上保存用戶操作的歷史資訊,服務器使用session id來標識session,session id由服務器負責產生,保證隨機性與唯一性,相當于一個隨機密鑰,避免在握手或傳輸中暴露用戶真實密碼,但該方式下,仍然需要將發送請求的客戶端與session進行對應,所以可以借助cookie機制來獲取客戶端的標識(即session id),也可以通過GET方式將id提交給服務器,

cookie是有時間限制的,根據生命期不同分成兩種:會話cookie和持久cookie;

如果不設定過期時間,則表示這個cookie的生命周期為從創建到瀏覽器關閉為止,只要關閉瀏覽器視窗,cookie就消失了,這種生命期為瀏覽會話期的cookie被稱為會話cookie,會話cookie一般不保存在硬碟上而是保存在記憶體里,

如果設定了過期時間(setMaxAge(606024)),瀏覽器就會把cookie保存到硬碟上,關閉后再次打開瀏覽器,這些cookie依然有效直到超過設定的過期時間,存盤在硬碟上的cookie可以在不同的瀏覽器行程間共享,比如兩個IE視窗,而對于保存在記憶體的cookie,不同的瀏覽器有不同的處理方式,   

session

session,中文經常翻譯為會話,其本來的含義是指有始有終的一系列動作/訊息,比如打電話是從拿起電話撥號到掛斷電話這中間的一系列程序可以稱之為一個session,然而當session一詞與網路協議相關聯時,它又往往隱含了“面向連接”和/或“保持狀態”這樣兩個含義,

session在Web開發環境下的語意又有了新的擴展,它的含義是指一類用來在客戶端與服務器端之間保持狀態的解決方案,有時候Session也用來指這種解決方案的存盤結構,

session機制是一種服務器端的機制,服務器使用一種類似于散串列的結構(也可能就是使用散串列)來保存資訊,

但程式需要為某個客戶端的請求創建一個session的時候,服務器首先檢查這個客戶端的請求里是否包含了一個session標識-稱為session id,如果已經包含一個session id則說明以前已經為此客戶創建過session,服務器就按照session id把這個session檢索出來使用(如果檢索不到,可能會新建一個,這種情況可能出現在服務端已經洗掉了該用戶對應的session物件,但用戶人為地在請求的URL后面附加上一個JSESSION的引數),如果客戶請求不包含session id,則為此客戶創建一個session并且同時生成一個與此session相關聯的session id,這個session id將在本次回應中回傳給客戶端保存,

session機制本身并不復雜,然而其實作和配置上的靈活性卻使得具體情況復雜多變,這也要求我們不能把僅僅某一次的經驗或者某一個瀏覽器,服務器的經驗當作普遍適用的,

session和cookie的目的相同,都是為了克服http協議無狀態的缺陷,但完成的方法不同,session通過cookie,在客戶端保存session id,而將用戶的其他會話訊息保存在服務端的session物件中,與此相對的,cookie需要將所有資訊都保存在客戶端,因此cookie存在著一定的安全隱患,例如本地cookie中保存的用戶名密碼被破譯,或cookie被其他網站收集(例如:1. appA主動設定域B cookie,讓域B cookie獲取;2. XSS,在appA上通過javascript獲取document.cookie,并傳遞給自己的appB),

Go如何使用session

通過上一小節的介紹,我們知道session是在服務器端實作的一種用戶和服務器之間認證的解決方案,目前Go標準包沒有為session提供任何支持,

ession創建程序

ssession的基本原理是由服務器為每個會話維護一份資訊資料,客戶端和服務端依靠一個全域唯一的標識來訪問這份資料,以達到互動的目的,當用戶訪問Web應用時,服務端程式會隨需要創建session,這個程序可以概括為三個步驟:

  • 生成全域唯一識別符號(sessionid);
  • 開辟資料存盤空間,一般會在記憶體中創建相應的資料結構,但這種情況下,系統一旦掉電,所有的會話資料就會丟失,如果是電子商務類網站,這將造成嚴重的后果,所以為了解決這類問題,你可以將會話資料寫到檔案里或存盤在資料庫中,當然這樣會增加I/O開銷,但是它可以實作某種程度的session持久化,也更有利于session的共享;
  • 將session的全域唯一標示符發送給客戶端,

以上三個步驟中,最關鍵的是如何發送這個session的唯一標識這一步上,考慮到HTTP協議的定義,資料無非可以放到請求行、頭域或Body里,所以一般來說會有兩種常用的方式:cookie和URL重寫,

  • Cookie 服務端通過設定Set-cookie頭就可以將session的識別符號傳送到客戶端,而客戶端此后的每一次請求都會帶上這個識別符號,另外一般包含session資訊的cookie會將失效時間設定為0(會話cookie),即瀏覽器行程有效時間,至于瀏覽器怎么處理這個0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現在新建瀏覽器視窗的時候);

  • URL重寫 所謂URL重寫,就是在回傳給用戶的頁面里的所有的URL后面追加session識別符號,這樣用戶在收到回應之后,無論點擊回應頁面里的哪個鏈接或提交表單,都會自動帶上session識別符號,從而就實作了會話的保持,雖然這種做法比較麻煩,但是,如果客戶端禁用了cookie的話,此種方案將會是首選,

預防session劫持

session劫持是一種廣泛存在的比較嚴重的安全威脅,在session技術中,客戶端和服務端通過session的識別符號來維護會話, 但這個識別符號很容易就能被嗅探到,從而被其他人利用,它是中間人攻擊的一種型別

session劫持防范

cookieonly和token
通過上面session劫持的簡單演示可以了解到session一旦被其他人劫持,就非常危險,劫持者可以假裝成被劫持者進行很多非法操作,那么如何有效的防止session劫持呢?

其中一個解決方案就是sessionID的值只允許cookie設定,而不是通過URL重置方式設定,同時設定cookie的httponly為true,這個屬性是設定是否可通過客戶端腳本訪問這個設定的cookie,第一這個可以防止這個cookie被XSS讀取從而引起session劫持,第二cookie設定不會像URL重置方式那么容易獲取sessionID,

第二步就是在每個請求里面加上token,實作類似前面章節里面講的防止form重復遞交類似的功能,我們在每個請求里面加上一個隱藏的token,然后每次驗證這個token,從而保證用戶的請求都是唯一性,

間隔生成新的SID

還有一個解決方案就是,我們給session額外設定一個創建時間的值,一旦過了一定的時間,我們銷毀這個sessionID,重新生成新的session,這樣可以一定程度上防止session劫持的問題,

這章我們學習了什么是session,什么是cookie,以及他們兩者之間的關系,但是目前Go官方標準包里面不支持session,所以我們設計了一個session管理器,實作了session從創建到銷毀的整個程序,然后定義了Provider的介面,使得可以支持各種后端的session存盤,然后我們在第三小節里面介紹了如何使用記憶體存盤來實作session的管理,第四小節我們講解了session劫持的程序,以及我們如何有效的來防止session劫持,通過這一章的講解,希望能夠讓讀者了解整個sesison的執行原理以及如何實作,而且是如何更加安全的使用session,

慚愧慚愧,并沒有完全吸收

鏈接

轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/49404.html

標籤:Go

上一篇:goweb-訪問資料庫

下一篇:goweb-文本處理

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 【C++】Microsoft C++、C 和匯編程式檔案

    ......

    uj5u.com 2020-09-10 00:57:23 more
  • 例外宣告

    相比于斷言適用于排除邏輯上不可能存在的狀態,例外通常是用于邏輯上可能發生的錯誤。 例外宣告 Item 1:當函式不可能拋出例外或不能接受拋出例外時,使用noexcept 理由 如果不打算拋出例外的話,程式就會認為無法處理這種錯誤,并且應當盡早終止,如此可以有效地阻止例外的傳播與擴散。 示例 //不可 ......

    uj5u.com 2020-09-10 00:57:27 more
  • Codeforces 1400E Clear the Multiset(貪心 + 分治)

    鏈接:https://codeforces.com/problemset/problem/1400/E 來源:Codeforces 思路:給你一個陣列,現在你可以進行兩種操作,操作1:將一段沒有 0 的區間進行減一的操作,操作2:將 i 位置上的元素歸零。最終問:將這個陣列的全部元素歸零后操作的最少 ......

    uj5u.com 2020-09-10 00:57:30 more
  • UVA11610 【Reverse Prime】

    本人看到此題沒有翻譯,就附帶了一個自己的翻譯版本 思考 這一題,它的第一個要求是找出所有 $7$ 位反向質數及其質因數的個數。 我們應該需要質數篩篩選1~$10^{7}$的所有數,這里就不慢慢介紹了。但是,重讀題,我們突然發現反向質數都是 $7$ 位,而將它反過來后的數字卻是 $6$ 位數,這就說明 ......

    uj5u.com 2020-09-10 00:57:36 more
  • 統計區間素數數量

    1 #pragma GCC optimize(2) 2 #include <bits/stdc++.h> 3 using namespace std; 4 bool isprime[1000000010]; 5 vector<int> prime; 6 inline int getlist(int ......

    uj5u.com 2020-09-10 00:57:47 more
  • C/C++編程筆記:C++中的 const 變數詳解,教你正確認識const用法

    1、C中的const 1、區域const變數存放在堆疊區中,會分配記憶體(也就是說可以通過地址間接修改變數的值)。測驗代碼如下: 運行結果: 2、全域const變數存放在只讀資料段(不能通過地址修改,會發生寫入錯誤), 默認為外部聯編,可以給其他源檔案使用(需要用extern關鍵字修飾) 運行結果: ......

    uj5u.com 2020-09-10 00:58:04 more
  • 【C++犯錯記錄】VS2019 MFC添加資源不懂如何修改資源宏ID

    1. 首先在資源視圖中,添加資源 2. 點擊新添加的資源,復制自動生成的ID 3. 在解決方案資源管理器中找到Resource.h檔案,編輯,使用整個專案搜索和替換的方式快速替換 宏宣告 4. Ctrl+Shift+F 全域搜索,點擊查找全部,然后逐個替換 5. 為什么使用搜索替換而不使用屬性視窗直 ......

    uj5u.com 2020-09-10 00:59:11 more
  • 【C++犯錯記錄】VS2019 MFC不懂的批量添加資源

    1. 打開資源頭檔案Resource.h,在其中預先定義好宏 ID(不清楚其實ID值應該設定多少,可以先新建一個相同的資源項,再在這個資源的ID值的基礎上遞增即可) 2. 在資源視圖中選中專案資源,按F7編輯資源檔案,按 ID 型別 相對路徑的形式添加 資源。(別忘了先把檔案拷貝到專案中的res檔案 ......

    uj5u.com 2020-09-10 01:00:19 more
  • C/C++編程筆記:關于C++的參考型別,專供新手入門使用

    今天要講的是C++中我最喜歡的一個用法——參考,也叫別名。 參考就是給一個變數名取一個變數名,方便我們間接地使用這個變數。我們可以給一個變數創建N個參考,這N + 1個變數共享了同一塊記憶體區域。(參考型別的變數會占用記憶體空間,占用的記憶體空間的大小和指標型別的大小是相同的。雖然參考是一個物件的別名,但 ......

    uj5u.com 2020-09-10 01:00:22 more
  • 【C/C++編程筆記】從頭開始學習C ++:初學者完整指南

    眾所周知,C ++的學習曲線陡峭,但是花時間學習這種語言將為您的職業帶來奇跡,并使您與其他開發人員區分開。您會更輕松地學習新語言,形成真正的解決問題的技能,并在編程的基礎上打下堅實的基礎。 C ++將幫助您養成良好的編程習慣(即清晰一致的編碼風格,在撰寫代碼時注釋代碼,并限制類內部的可見性),并且由 ......

    uj5u.com 2020-09-10 01:00:41 more
最新发布
  • Rust中的智能指標:Box<T> Rc<T> Arc<T> Cell<T> RefCell<T> Weak

    Rust中的智能指標是什么 智能指標(smart pointers)是一類資料結構,是擁有資料所有權和額外功能的指標。是指標的進一步發展 指標(pointer)是一個包含記憶體地址的變數的通用概念。這個地址參考,或 ” 指向”(points at)一些其 他資料 。參考以 & 符號為標志并借用了他們所 ......

    uj5u.com 2023-04-20 07:24:10 more
  • Java的值傳遞和參考傳遞

    值傳遞不會改變本身,參考傳遞(如果傳遞的值需要實體化到堆里)如果發生修改了會改變本身。 1.基本資料型別都是值傳遞 package com.example.basic; public class Test { public static void main(String[] args) { int ......

    uj5u.com 2023-04-20 07:24:04 more
  • [2]SpinalHDL教程——Scala簡單入門

    第一個 Scala 程式 shell里面輸入 $ scala scala> 1 + 1 res0: Int = 2 scala> println("Hello World!") Hello World! 檔案形式 object HelloWorld { /* 這是我的第一個 Scala 程式 * 以 ......

    uj5u.com 2023-04-20 07:23:58 more
  • 理解函式指標和回呼函式

    理解 函式指標 指向函式的指標。比如: 理解函式指標的偽代碼 void (*p)(int type, char *data); // 定義一個函式指標p void func(int type, char *data); // 宣告一個函式func p = func; // 將指標p指向函式func ......

    uj5u.com 2023-04-20 07:23:52 more
  • Django筆記二十五之資料庫函式之日期函式

    本文首發于公眾號:Hunter后端 原文鏈接:Django筆記二十五之資料庫函式之日期函式 日期函式主要介紹兩個大類,Extract() 和 Trunc() Extract() 函式作用是提取日期,比如我們可以提取一個日期欄位的年份,月份,日等資料 Trunc() 的作用則是截取,比如 2022-0 ......

    uj5u.com 2023-04-20 07:23:45 more
  • 一天吃透JVM面試八股文

    什么是JVM? JVM,全稱Java Virtual Machine(Java虛擬機),是通過在實際的計算機上仿真模擬各種計算機功能來實作的。由一套位元組碼指令集、一組暫存器、一個堆疊、一個垃圾回收堆和一個存盤方法域等組成。JVM屏蔽了與作業系統平臺相關的資訊,使得Java程式只需要生成在Java虛擬機 ......

    uj5u.com 2023-04-20 07:23:31 more
  • 使用Java接入小程式訂閱訊息!

    更新完微信服務號的模板訊息之后,我又趕緊把微信小程式的訂閱訊息給實作了!之前我一直以為微信小程式也是要企業才能申請,沒想到小程式個人就能申請。 訊息推送平臺🔥推送下發【郵件】【短信】【微信服務號】【微信小程式】【企業微信】【釘釘】等訊息型別。 https://gitee.com/zhongfuch ......

    uj5u.com 2023-04-20 07:22:59 more
  • java -- 緩沖流、轉換流、序列化流

    緩沖流 緩沖流, 也叫高效流, 按照資料型別分類: 位元組緩沖流:BufferedInputStream,BufferedOutputStream 字符緩沖流:BufferedReader,BufferedWriter 緩沖流的基本原理,是在創建流物件時,會創建一個內置的默認大小的緩沖區陣列,通過緩沖 ......

    uj5u.com 2023-04-20 07:22:49 more
  • Java-SpringBoot-Range請求頭設定實作視頻分段傳輸

    老實說,人太懶了,現在基本都不喜歡寫筆記了,但是網上有關Range請求頭的文章都太水了 下面是抄的一段StackOverflow的代碼...自己大修改過的,寫的注釋挺全的,應該直接看得懂,就不解釋了 寫的不好...只是希望能給視頻網站開發的新手一點點幫助吧. 業務場景:視頻分段傳輸、視頻多段傳輸(理 ......

    uj5u.com 2023-04-20 07:22:42 more
  • Windows 10開發教程_編程入門自學教程_菜鳥教程-免費教程分享

    教程簡介 Windows 10開發入門教程 - 從簡單的步驟了解Windows 10開發,從基本到高級概念,包括簡介,UWP,第一個應用程式,商店,XAML控制元件,資料系結,XAML性能,自適應設計,自適應UI,自適應代碼,檔案管理,SQLite資料庫,應用程式到應用程式通信,應用程式本地化,應用程式 ......

    uj5u.com 2023-04-20 07:22:35 more