都9102年了,还问Session和Cookie的区别

栏目: Python · 发布时间: 5年前

内容简介:最近看了一些同学的面经,发现无论什么技术岗位,还是会问到 Session 和 Cookie 的区别。所有学技术的同学都知道 Session 和 Cookie 函数怎么用,知道 Session 和 Cookie 的区别就是 Session 是储存在服务端的,Cookie 是存储在浏览器的。但是实际上是什么东西,一些刚学习技术的同学估计还是模糊,我刚学 PHP 的时候,这种感觉特别明显。PHP 中 Session 和 Cookie 的操作只要操作

1 前言

最近看了一些同学的面经,发现无论什么技术岗位,还是会问到 Session 和 Cookie 的区别。

所有学技术的同学都知道 Session 和 Cookie 函数怎么用,知道 Session 和 Cookie 的区别就是 Session 是储存在服务端的,Cookie 是存储在浏览器的。

但是实际上是什么东西,一些刚学习技术的同学估计还是模糊,我刚学 PHP 的时候,这种感觉特别明显。PHP 中 Session 和 Cookie 的操作只要操作 $_COOKIE$_SESSION 数组就可以了,而且操作方式和功能一模一样,搞得我一脸懵逼。

最后,还是自己实现了一个 Session 操作类才恍然大悟,实质上就是两个不同的存储对象嘛。

2 Cookie

Cookie 的诞生是为了能让无状态的 HTTP 报文带上一些特殊的数据,让服务端能够辨识请求的身份。

对于 Cookie 的概念就不多说了,Cookie 说简单点就是浏览器上的一个 key-value 存储对象,通过开发者 工具 直接看到 Cookie 的内容(F12)

都9102年了,还问Session和Cookie的区别

写入数据方式

Cookie 写入数据的方式是通过 HTTP 返回报文 Header 部分 Set-Cookie 字段来设置,一个带有写 Cookie 指令的的 HTTP 返回报文如下

HTTP/1.1 200 OK
Set-Cookie: SESSIONID=e13179a6-2378-11e9-ac30-fa163eeeaea1; Path=/
Transfer-Encoding: chunked
Date: Tue, 29 Jan 2019 07:12:09 GMT
Server: localhost

上述报文 Set-Cookie 指示浏览器设置 keySESSIONIDvaluee13179a6-2378-11e9-ac30-fa163eeeaea1 的 Cookie

获取数据方式

浏览器在发送请求的时候会检查当前域已经设置的 Cookie,在 HTTP 请求报文 Header 部分的 Cookie 字段里面带上 Cookie 的信息。下面捉取了一段 HTTP 报文

GET http://10.0.1.24:23333/ HTTP/1.1
Host: 10.0.1.24:23333
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: SESSIONID=e13179a6-2378-11e9-ac30-fa163eeeaea1

从最后的 Cookie 字段看到,浏览器请求时带上了 keySESSIONIDvaluee13179a6-2378-11e9-ac30-fa163eeeaea1 的数据,后端直接解析 HTTP 报文就能获取 Cookie 的内容。

3 Session

Session 在代码里面的语意是记录客户端状态的一个存储对象,是同一个客户端请求共享的数组。这个存储对象可以是文件、缓存系统、数据库。

现在假设要使用 redis 来实现 Session 功能,那么就要求浏览器每次请求都要带一个相同的字符串作为身份信息,对应 redis 的 key,redis value 则为 Session 数组序列化的内容。

那么如何让浏览器每次请求都带一个身份信息呢,这就是 Session 和 Cookie 的关系,通过 Cookie 传递这个身份信息。流程如下

Set-Cookie

...

4 手动实现 Session

既然知道了 Session 的原理,我们手动实现一个 Session 操作类,采用文件保存的方式。http 框架采用 web.py ,安装方式如下

pip install web.py

Session类

我们要实现的这个类就叫 Session

class Session:

    def __init__(self):
        self.session_id = None
        # session 数组
        self._items = dict()
        self._load()

我们所有 session 文件放在 sessions 目录下,文件名为对应的 session id,内容为 Session 数组序列化的字符串。在初始化对象的时候通过获取名为 SESSIONID 的 Cookie,如果没有就生成一个新的。

def _load(self):
    SESSIONID = web.cookies().get('SESSIONID', None)
    if not SESSIONID:
        SESSIONID = uuid.uuid()
    self.session_id = SESSIONID

    self._loadFromDisk()

获取到 SESSIONID 后,检查 sessions 目录下有没有对应的文件,如果有就读取并反序列化

def _loadFromDisk(self):
    """ 从文件加载 SESSION """
    file = './sessions/%s' % self.session_id
    if os.path.exists(file):
        f = open(file, 'rb')
        self._items = pickle.load(f)
        f.close()

获取 Session 部分完成了,接下来就是保存 Session,我们要把 SESSIONID 写进 Cookie 里面,这样才能在下次请求时获取到对应的 SESSIONID

def _setSessionCookie(self):
    """ Session id 写入 cookie """
    web.setcookie('SESSIONID', self.session_id)

最后把 Session 的内容保存到文件里面

def _saveToDisk(self):
    """ 保存 SESSION 到文件 """
    f = open('./sessions/%s' % self.session_id, 'wb')
    pickle.dump(self._items, f)
    f.close()

功能测试

我们新建一个文件,叫 server.py ,写入测试代码

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# 测试 session

import web
import time
from session import Session

urls = (
    '/', 'index'
)

app = web.application(urls, globals())


class index:
    def GET(self):
        session = Session()
        if 'login_time' not in session:
            session['login_time'] = int(time.time())
        return 'login time: %s' % session['login_time']


if __name__ == "__main__":
    app.run()

在同一目录新建 session.py 文件,写入 Session 类代码

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# Session

import os
import web
import uuid
try:
    import cPickle as pickle
except ImportError:
    import pickle


class Session:
    __instance = None

    def __new__(cls):
        """ 单例模式 """
        if cls.__instance is None:
            cls.__instance = object.__new__(cls)
            return cls.__instance
        else:
            return cls.__instance

    def __init__(self):
        self.session_id = None
        # session 数组
        self._items = dict()
        self._load()

    def __contains__(self, key):
        return key in self._items

    def __getitem__(self, key):
        return self._items.get(key, None)

    def __setitem__(self, key, value):
        self._items[key] = value
        return True

    def __delitem__(self, key):
        if key in self._items:
            del self._items[key]
        return True

    def __del__(self):
        """ 析构函数,结束请求时执行 """
        self._setSessionCookie()
        self._saveToDisk()

    def _load(self):
        SESSIONID = web.cookies().get('SESSIONID', None)
        if not SESSIONID or SESSIONID is None:
            SESSIONID = uuid.uuid()
        self.session_id = SESSIONID

        self._loadFromDisk()

    def _loadFromDisk(self):
        """ 从文件加载 SESSION """
        file = './sessions/%s' % self.session_id
        if os.path.exists(file):
            f = open(file, 'rb')
            self._items = pickle.load(f)
            f.close()

    def _setSessionCookie(self):
        """ Session id 写入 cookie """
        web.setcookie('SESSIONID', self.session_id)

    def _saveToDisk(self):
        """ 保存 SESSION 到文件 """
        f = open('./sessions/%s' % self.session_id, 'wb')
        pickle.dump(self._items, f)
        f.close()

再在同一目录新建 sessions 目录,存放我们的 Session 文件

mkdir sessions

启动服务

[service@chengqm mysession]$ python server.py 23333
http://0.0.0.0:23333/

浏览器发起请求

都9102年了,还问Session和Cookie的区别

查看 Cookie

都9102年了,还问Session和Cookie的区别

查看 Session 文件内容

[service@chengqm mysession]$ cat sessions/e13179a6-2378-11e9-ac30-fa163eeeaea1
(dp1
S'login_time'
p2
I1548749002
s.

可以多次刷新和更换浏览器测试,测试结果是符合我们对 Session 的预期,简陋版 Session 类功能就算实现了。

5 如果禁止 Cookie 是否可以获取 Session

这是一道面试题,当年竟然能用这个问题问倒过一些朋友,还是有些意思的

从前面可以知道,SESSIONID 是通过 Cookie 来传递,如果 Cookie 禁止了,还能获取 SESSIONID 吗? 答案是可以的

既然 Cookie 禁止了,那么我们就可以用参数的方法传递 SESSIONID,后端返回的时候,增加一个返回参数,叫 SESSIONID,然后前端存储到 localstorage 里面

前端请求的时候,去 localstorage 获取SESSIONID,在请求参数里面增加这一个参数

后端 Session 处理,先尝试从 Cookie 中获取 SESSIONID,如果获取不到,再尝试从请求参数中获取 SESSIONID

这样,就算禁止 Cookie 也是能获取 Session 的。

6 总结

最后,我们得出 Session 和 Cookie 区别和联系

区别

  • Cookie 是浏览器端的存储对象,有容量限制,通过 HTTP 报文与后端交互
  • Session 是服务端的存储对象,实现的方式可以有文件系统、缓存系统、数据库

联系

  • Session 和 Cookie 都是为了实现 HTTP 请求带上客户端状态的方法
  • Session 大多数情况下都是依赖 Cookie 来传递 Session Id

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Kafka权威指南

Kafka权威指南

Neha Narkhede、Gwen Shapira、Todd Palino / 薛命灯 / 人民邮电出版社 / 2017-12-26 / 69.00元

每个应用程序都会产生数据,包括日志消息、度量指标、用户活动记录、响应消息等。如何移动数据,几乎变得与数据本身一样重要。如果你是架构师、开发者或者产品工程师,同时也是Apache Kafka新手,那么这本实践指南将会帮助你成为流式平台上处理实时数据的专家。 本书由出身于LinkedIn的Kafka核心作者和一线技术人员共同执笔,详细介绍了如何部署Kafka集群、开发可靠的基于事件驱动的微服务,......一起来看看 《Kafka权威指南》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具