3 分钟带你深入了解 CookieSessionToken

Posted 软件测试呀

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了3 分钟带你深入了解 CookieSessionToken相关的知识,希望对你有一定的参考价值。

面试的时候面试官经常会问,CDN 是否会传递 Cookie 信息?是否会对源站 Session 有影响?Token 的防盗链配置为什么总是配置失败?为此,我们就针对 Cookie、Session 和 Token,来谈谈它们的用处是什么。

Cookie

Cookie 虽然听起来不是技术名词,但却为互联网提供一项至关重要的功能:“记录访问过的网站或正在访问的网站。”

HTTP 协议是无状态的,服务器不知道浏览器上一次访问做了什么,也无法对用户会话进行跟踪连接。为此就引入 Cookie 技术,Cookie 是由服务器发送到客户端浏览器的一小段文本文件,包含了网站访问活动信息。例如首选项语言或其它一些设置。浏览器会保存这些数据,并在客户端下次访问该网站时调用它们,提供更方便和个性化的访问体验。

举个简单的例子:我们在浏览购物网站时,会将选购商品添加到购物车。如果没有 Cookie 技术,因为 HTTP 是无状态协议,它不会知道之前添加选购哪些商品,放在哪个用户的购物车中。而应用 Cookie 技术后,Cookie 才会将这些信息在会话中发送给服务器,服务器读取 Cookie 信息就知道是哪些用户购物车中添加的商品信息。

Cookie 的属性,就意味着它会暴露用户的一些隐私。Cookie 存放了客户端留在网站的信息,它会根据用户喜好和访问信息记录,推送一些用户喜欢的信息。我们在浏览网页中,常常看到在线广告,大多数在线广告就是依附 Cookie 技术对客户端浏览器进行推广,在网页中显示相关度较高的广告

Session

Session 表示的是 C/S 架构中服务器和客户端一次会话的过程,用来保存认证用户信息。Session 是一种 HTTP 存储机制,目的是为无状态的 HTTP 提供持久机制。这样用户在应用程序的 Web 页面跳转时,就不会因为 HTTP 无状态的性质导致对话丢失,从而使访问会话一直保持下去。

服务器端存储用户数据信息。必须知道每个用户分别是谁,那么每个用户必须有个名字,或者说是 ID,这就是所谓的“Session ID”。用户请求后,服务器会生成 Session ID 并返还,后续用户的每次请求,都会带上这个 Session ID,然后服务器通过在数据库的搜索对应,找到该用户及其相关信息,比如对应的用户是登录状态还是超时登出之类的。

信息状态存在服务器端,用户只需要留存 Session ID。大多数时候通过 Cookie 传递存放,当然也可以用 ajax 传,存 Local Storage 或 Session Storage 或 IndexDB 或 Web SQL,反正只要用户拿到并存着就行,甚至可以用 URL 重写的方式传递。

比如:二毛在 http://www.a.com/login.php 网站中登陆,同时希望 http://www.a.com/index.php 也是登陆状态。但这是两个不同的页面和 HTTP 请求,并且 HTTP 是无状态协议,是无关联的,也就无法在 /index.php 中读取 /login.php 登陆状态。于是我们就可以依靠 Session 会话技术,它通过保持会话的方式,将多次 HTTP 请求关联到一个会话中,保持数据传输的完整性。

Token

Token 是“令牌”的意思,主要是用于身份的验证方式。以又拍云的 Token 防盗链为例,Token 通过对时间相关的字符串进行签名,将时间、签名信息通过一定的方式传递给 CDN 节点服务器作为判定依据,CDN 边缘节点依据约定的算法判断来访的 URL 是否有访问权限。如果通过,执行下一步;如果不通过,响应 HTTP 403 状态码或者通过 302 跳转到其他 URL。


如上图所示,整个 Token 防盗链的实现需要如下几个部分来配合:

客户端:负责发送原始请求给客户端业务服务器以及发送带签名的 URL 给 CDN 节点进行验证;
业务服务器:根据约定的算法生成带 _upt 参数的 URL 返回给客户端;
CDN 节点:负责和客户端进行时间、签名校验;
Token 的实现方式

在了解 Token 实现需要客户端、服务器端、CDN 节点来配合后,再来简单看下 Token 具体是如何实现的:

步骤1:客户端业务服务器生成验证信息,验证信息的生成由业务服务器负责,具体的加密过程需要确认如下事项:

确认过期时间的格式,默认采用 UNIX 时间戳格式
确认验证信息中的密文,用户计算验证信息,需要和 CDN 平台约定
确认验证信息时加入的参数,默认为 URL 的路径部分
根据上文的算法说明计算验证信息,其中请求 URL 中的验证参数为 _upt
步骤2:CDN 节点验证过程

根据约定解析取出过期时间,和当前 CDN 节点服务器时间进行比较,确认请求是否过期
根据上文约定好的算法计算方式,计算出 MD5 加密串后,和 URL 中的加密串进行比较,验证加密串是否一致
如果以上两个步骤都验证通过,请求才会被认为是合法的,这时 CDN 会请求资源响应给客户端,否则会被认为是非法请求,直接响应 HTTP status code 403。

最后,做下简单的总结:
Cookie 存放在客户端,用来保存客户端会话信息。由于存储在客户端,它的安全性不能完全保证。

Session 存放在服务器端,用户验证客户端信息。如果把 Cookie 比喻成电话号码,那么 Session 就是记录所有人信息的电话簿。由于存储在服务器,安全性有一定的保证。

Token 是一种认证方式。通过预定的规则来计算 Token 值并发送给服务器进行访问验证。

读完这篇文章,我相信你已经对 Cookie、Session、Token 有详尽的了解了。

最后感谢每一个认真阅读我文章的人,下面这个网盘链接也是我费了几天时间整理的非常全面的,希望也能帮助到有需要的你!

这些资料,对于想转行做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。希望对大家有所帮助……

如果你不想一个人野蛮生长,找不到系统的资料,问题得不到帮助,坚持几天便放弃的感受的话,可以点击下方小卡片加入我们群,大家可以一起讨论交流,里面会有各种软件测试资料和技术交流。

敲字不易,如果此文章对你有帮助的话,点个赞收个藏来个关注,给作者一个鼓励。也方便你下次能够快速查找。

自学推荐B站视频:

零基础转行软件测试:38天自学完软件测试,拿到了字节的测试岗offer,堪称B站最好的视频!

自动化测试进阶:已上岸华为,涨薪20K,2022最适合自学的python自动化测试教程,自己花16800买的,无偿分享

以上是关于3 分钟带你深入了解 CookieSessionToken的主要内容,如果未能解决你的问题,请参考以下文章

三分钟带你深入了解葡萄酒的AOP~~~

3分钟带你了解负载均衡服务

小曾带你深入浅出机器学习(小白入门必备,近3万字带你了解机器学习)

3分钟带你了解PowerShell发展历程——PowerShell各版本资料整理

3分钟带你了解数据指标管理体系

3分钟带你了解微信小程序开发