Spring Boot入门教程(五十六): Spring Session

一:Web容器Session

HTTP是无状态协议的,服务器端要想记住客户端的状态需要通过Session和Cookie来完成。

Session是由Web服务器端(Tomcat)维护的,Cookie是由客户端(浏览器)维护的,浏览器每次请求都会自动携带Cookie信息,当服务器端首次往session中存储值时(session.setAttribute(name, value)),服务器端(Tomcat)会自动向响应头(Response Head)中增加一个Set-Cookie的头值为JSESSIONID的键值对Set-Cookie: JSESSIONID=B509E856BF4E4F2A0D3C572179A6857F,当客户端(浏览器)下次访问服务器时浏览器会自动携带Cookie并且该Cookie中会包含JSESSIONID,当服务器收到客户端的请求时服务器就能解析到Cookie中的JSESSIONID并根据JSESSIONID值获取对应的Session对象,这样服务器端就知道客户端的状态了,就知道该请求是哪个用户请求的了。

Session对应着一个浏览器窗口,当浏览器关闭了该Session也就消失了,即关掉浏览器再次打开浏览器访问服务器首次访问session也会重新创建一个新的Session。不同类型的浏览器对Session是隔离的,不能互相访问。不同类型的浏览器首次访问也都会创建不同的session。

Cookie是保存在浏览器中的,即保存在本机的,我们可以直接修改Cookie中的JSESSIONID的值,客户端是否修改JSESSIONID的值服务器是不知道的,服务器只会通过JSESSIONID获取Session,我们可以将JSESSIONID中的值修改为别人的值(可以通过浏览器插件EditThisCookie来修改Cookie的值),这样能够骗过服务器拿到别人session的信息,这样是不安全的。即Cookie是不安全的。

二:Spring Session

你可能感兴趣的:(Spring,Boot,Spring,Boot入门教程精讲)