session和資料存盤
Web開發中一個很重要的議題就是如何做好用戶的整個瀏覽程序的控制,因為HTTP協議是無狀態的,所以用戶的每一次請求都是無狀態的,我們不知道在整個Web操作程序中哪些連接與該用戶有關,我們應該如何來解決這個問題呢?Web里面經典的解決方案是cookie和session,cookie機制是一種客戶端機制,把用戶資料保存在客戶端,而session機制是一種服務器端的機制,服務器使用一種類似于散串列的結構來保存資訊,每一個網站訪客都會被分配給一個唯一的標志符,即sessionID,它的存放形式無非兩種:要么經過url傳遞,要么保存在客戶端的cookies里.當然,你也可以將Session保存到資料庫里,這樣會更安全,但效率方面會有所下降,
session和cookie
session和cookie是網站瀏覽中較為常見的兩個概念,也是比較難以辨析的兩個概念,但它們在瀏覽需要認證的服務頁面以及頁面統計中卻相當關鍵,我們先來了解一下session和cookie怎么來的?考慮這樣一個問題:
如何抓取一個訪問受限的網頁?如新浪微博好友的主頁,個人微博頁面等,
顯然,通過瀏覽器,我們可以手動輸入用戶名和密碼來訪問頁面,而所謂的“抓取”,其實就是使用程式來模擬完成同樣的作業,因此我們需要了解“登錄”程序中到底發生了什么,
當用戶來到微博登錄頁面,輸入用戶名和密碼之后點擊“登錄”后瀏覽器將認證資訊POST給遠端的服務器,服務器執行驗證邏輯,如果驗證通過,則瀏覽器會跳轉到登錄用戶的微博首頁,在登錄成功后,服務器如何驗證我們對其他受限制頁面的訪問呢?因為HTTP協議是無狀態的,所以很顯然服務器不可能知道我們已經在上一次的HTTP請求中通過了驗證,當然,最簡單的解決方案就是所有的請求里面都帶上用戶名和密碼,這樣雖然可行,但大大加重了服務器的負擔(對于每個request都需要到資料庫驗證),也大大降低了用戶體驗(每個頁面都需要重新輸入用戶名密碼,每個頁面都帶有登錄表單),既然直接在請求中帶上用戶名與密碼不可行,那么就只有在服務器或客戶端保存一些類似的可以代表身份的資訊了,所以就有了cookie與session,
cookie,簡而言之就是在本地計算機保存一些用戶操作的歷史資訊(當然包括登錄資訊),并在用戶再次訪問該站點時瀏覽器通過HTTP協議將本地cookie內容發送給服務器,從而完成驗證,或繼續上一步操作,
session,簡而言之就是在服務器上保存用戶操作的歷史資訊,服務器使用session id來標識session,session id由服務器負責產生,保證隨機性與唯一性,相當于一個隨機密鑰,避免在握手或傳輸中暴露用戶真實密碼,但該方式下,仍然需要將發送請求的客戶端與session進行對應,所以可以借助cookie機制來獲取客戶端的標識(即session id),也可以通過GET方式將id提交給服務器,
cookie是有時間限制的,根據生命期不同分成兩種:會話cookie和持久cookie;
如果不設定過期時間,則表示這個cookie的生命周期為從創建到瀏覽器關閉為止,只要關閉瀏覽器視窗,cookie就消失了,這種生命期為瀏覽會話期的cookie被稱為會話cookie,會話cookie一般不保存在硬碟上而是保存在記憶體里,
如果設定了過期時間(setMaxAge(606024)),瀏覽器就會把cookie保存到硬碟上,關閉后再次打開瀏覽器,這些cookie依然有效直到超過設定的過期時間,存盤在硬碟上的cookie可以在不同的瀏覽器行程間共享,比如兩個IE視窗,而對于保存在記憶體的cookie,不同的瀏覽器有不同的處理方式,
session
session,中文經常翻譯為會話,其本來的含義是指有始有終的一系列動作/訊息,比如打電話是從拿起電話撥號到掛斷電話這中間的一系列程序可以稱之為一個session,然而當session一詞與網路協議相關聯時,它又往往隱含了“面向連接”和/或“保持狀態”這樣兩個含義,
session在Web開發環境下的語意又有了新的擴展,它的含義是指一類用來在客戶端與服務器端之間保持狀態的解決方案,有時候Session也用來指這種解決方案的存盤結構,
session機制是一種服務器端的機制,服務器使用一種類似于散串列的結構(也可能就是使用散串列)來保存資訊,
但程式需要為某個客戶端的請求創建一個session的時候,服務器首先檢查這個客戶端的請求里是否包含了一個session標識-稱為session id,如果已經包含一個session id則說明以前已經為此客戶創建過session,服務器就按照session id把這個session檢索出來使用(如果檢索不到,可能會新建一個,這種情況可能出現在服務端已經洗掉了該用戶對應的session物件,但用戶人為地在請求的URL后面附加上一個JSESSION的引數),如果客戶請求不包含session id,則為此客戶創建一個session并且同時生成一個與此session相關聯的session id,這個session id將在本次回應中回傳給客戶端保存,
session機制本身并不復雜,然而其實作和配置上的靈活性卻使得具體情況復雜多變,這也要求我們不能把僅僅某一次的經驗或者某一個瀏覽器,服務器的經驗當作普遍適用的,
session和cookie的目的相同,都是為了克服http協議無狀態的缺陷,但完成的方法不同,session通過cookie,在客戶端保存session id,而將用戶的其他會話訊息保存在服務端的session物件中,與此相對的,cookie需要將所有資訊都保存在客戶端,因此cookie存在著一定的安全隱患,例如本地cookie中保存的用戶名密碼被破譯,或cookie被其他網站收集(例如:1. appA主動設定域B cookie,讓域B cookie獲取;2. XSS,在appA上通過javascript獲取document.cookie,并傳遞給自己的appB),
Go如何使用session
通過上一小節的介紹,我們知道session是在服務器端實作的一種用戶和服務器之間認證的解決方案,目前Go標準包沒有為session提供任何支持,
ession創建程序
ssession的基本原理是由服務器為每個會話維護一份資訊資料,客戶端和服務端依靠一個全域唯一的標識來訪問這份資料,以達到互動的目的,當用戶訪問Web應用時,服務端程式會隨需要創建session,這個程序可以概括為三個步驟:
- 生成全域唯一識別符號(sessionid);
- 開辟資料存盤空間,一般會在記憶體中創建相應的資料結構,但這種情況下,系統一旦掉電,所有的會話資料就會丟失,如果是電子商務類網站,這將造成嚴重的后果,所以為了解決這類問題,你可以將會話資料寫到檔案里或存盤在資料庫中,當然這樣會增加I/O開銷,但是它可以實作某種程度的session持久化,也更有利于session的共享;
- 將session的全域唯一標示符發送給客戶端,
以上三個步驟中,最關鍵的是如何發送這個session的唯一標識這一步上,考慮到HTTP協議的定義,資料無非可以放到請求行、頭域或Body里,所以一般來說會有兩種常用的方式:cookie和URL重寫,
-
Cookie 服務端通過設定Set-cookie頭就可以將session的識別符號傳送到客戶端,而客戶端此后的每一次請求都會帶上這個識別符號,另外一般包含session資訊的cookie會將失效時間設定為0(會話cookie),即瀏覽器行程有效時間,至于瀏覽器怎么處理這個0,每個瀏覽器都有自己的方案,但差別都不會太大(一般體現在新建瀏覽器視窗的時候);
-
URL重寫 所謂URL重寫,就是在回傳給用戶的頁面里的所有的URL后面追加session識別符號,這樣用戶在收到回應之后,無論點擊回應頁面里的哪個鏈接或提交表單,都會自動帶上session識別符號,從而就實作了會話的保持,雖然這種做法比較麻煩,但是,如果客戶端禁用了cookie的話,此種方案將會是首選,
預防session劫持
session劫持是一種廣泛存在的比較嚴重的安全威脅,在session技術中,客戶端和服務端通過session的識別符號來維護會話, 但這個識別符號很容易就能被嗅探到,從而被其他人利用,它是中間人攻擊的一種型別
session劫持防范
cookieonly和token
通過上面session劫持的簡單演示可以了解到session一旦被其他人劫持,就非常危險,劫持者可以假裝成被劫持者進行很多非法操作,那么如何有效的防止session劫持呢?
其中一個解決方案就是sessionID的值只允許cookie設定,而不是通過URL重置方式設定,同時設定cookie的httponly為true,這個屬性是設定是否可通過客戶端腳本訪問這個設定的cookie,第一這個可以防止這個cookie被XSS讀取從而引起session劫持,第二cookie設定不會像URL重置方式那么容易獲取sessionID,
第二步就是在每個請求里面加上token,實作類似前面章節里面講的防止form重復遞交類似的功能,我們在每個請求里面加上一個隱藏的token,然后每次驗證這個token,從而保證用戶的請求都是唯一性,
間隔生成新的SID
還有一個解決方案就是,我們給session額外設定一個創建時間的值,一旦過了一定的時間,我們銷毀這個sessionID,重新生成新的session,這樣可以一定程度上防止session劫持的問題,
這章我們學習了什么是session,什么是cookie,以及他們兩者之間的關系,但是目前Go官方標準包里面不支持session,所以我們設計了一個session管理器,實作了session從創建到銷毀的整個程序,然后定義了Provider的介面,使得可以支持各種后端的session存盤,然后我們在第三小節里面介紹了如何使用記憶體存盤來實作session的管理,第四小節我們講解了session劫持的程序,以及我們如何有效的來防止session劫持,通過這一章的講解,希望能夠讓讀者了解整個sesison的執行原理以及如何實作,而且是如何更加安全的使用session,
慚愧慚愧,并沒有完全吸收
鏈接
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/49404.html
標籤:Go
上一篇:goweb-訪問資料庫
下一篇:goweb-文本處理
