基于RFC6265 (HTTP狀態管理協議)實現簡單的登錄系統
該協議主要是闡述如何利用HTTP Cookie與SetCookie頭字段來實現對HTTP Request
狀態的跟蹤與管理�����,這個在用戶行為分析����,登錄系統設計等方法有著很重要的應用�����。對
于大多數現代的瀏覽器都支持RFC6265.
基本原理:
RFC6265闡述通過設置SetCookie不同值在HTTPResponse中��,來告訴瀏覽器客戶端在
接下來的每次請求Request Header中都帶上Response中指定的值與行為�。直到服務器
配置的session過期為止����。通過Tomcat配置session過期時間為30分鐘��,在web.xml配置
文件中可以重寫該屬性值��。同時當用戶關閉瀏覽器以后����,在客戶端內存中對于該站點
的cookie內容將會自動銷毀��。也許這樣不太方便用戶����,于是很多網站提供了記住自己帳
號的原因���,其實就是通過將cookie寫到本地文件中����。
系統訪問與重定向到登錄頁面
首先當瀏覽器客戶端發起一個Request請求訪問指定URL或者Web Server時����,服務器
端通過檢查請求頭是否含有Cookie字段�����,以及Cookie字段中的內容來設別訪問者是否
為登錄或者未登錄用戶����,如果是未登錄頁面�,則將URL重定向到登錄頁面即可�。用戶
登錄以后服務器端發送一個HTTP Response + Set-Cookie內容到客戶端瀏覽器�����,那么
在隨后所有發往該Domain的URL都將會帶上Set-Cookie中指定的內容�����,HTTP
Request + Cookie到服務器端���,服務器端通過檢查Request 頭中Cookie內容實現對
用戶的狀態追蹤��。從而將無狀態HTTP Request變成一個有狀態的HTTP連接加以
管理����。登錄處理基本的流程圖如下:
服務器與客戶端HTTP Request發送與接受狀態:
用戶退出系統與Request狀態終止
當客戶端關閉瀏覽器時候����,客戶端Cookie將會被自動從內存中丟棄��,當客戶端再次打
開瀏覽器請求服務器端資源時候�����,將被要求再次登錄到服務器端建立新的可跟蹤的
Request 會話當超過服務器端配置的會話時間時���,同樣會要求用戶再次登錄系統�。
當用戶使用系統退出功能正常退出時�����,當退出時候通過設置Max-Age : 0來remove
當前cookie內容實現對客戶端狀態的清零���。只要在HTTP Response中加上Cookie過
期屬性同時設置一個過去的時間�。例子如下:
RFC6265中關于Cookie與SetCookie的屬性與使用詳解
|
Cookie
|
SetCookie
|
|
包含于HTTP Request Header,用戶客戶端向服務器端發送驗證信息與其它有用信息��,主要用來跟蹤客戶端狀態與分析用戶行為
|
在HTTP Response中設置�����,主要用于服務器端向客戶端發送指定的狀態信息����,建立與客戶端的聯系����。通過設置HTTPOnly屬性與Secure屬性還可以保護客戶端Cookie數據���,減少惡意讀取用戶Cookie信息發生�。
|
RFC6265中一個簡單例子:
== Server -> UserAgent == // 服務器發送到客戶端
Set-Cookie:SID=31d4d96e407aad42
== User Agent ->Server == // 每個請求中都會帶上SID信息��,實現追蹤用戶狀態
Cookie: SID=31d4d96e407aad42
要求客戶端的所有請求路徑都要帶上SID信息�,通過發送Path=/實現
== Server -> UserAgent ==
Set-Cookie:SID=31d4d96e407aad42; Path=/; Domain=example.com
== User Agent ->Server ==
Cookie: SID=31d4d96e407aad42
刪除客戶端Request Cookie中SID信息�����,取當前時間以前的一個任意時間��。
== Server -> UserAgent ==
Set-Cookie: SID=;Expires=Sun, 06 Nov 1994 08:49:37 GMT
最后來看一看我抓取的CSDN登錄以后的Cookie信息:
J2EE 當從HTTP Servlet Request中調用獲取SessionID方法以后會自動把JSESSIONID
作為Cookie設置到Response頭中��。所以無需顯式再次調用���!
根據RFC6265的內容�,基于Spring3 MVC我自己也實現了一個簡單的登錄系統設計
可以幫助大家更好的理解協議�����。只有兩個頁面�����,兩個Controller類與一個ServletFilter
各個類的作用大致如下:
ServletFilter類:實現對HTTP Request頭的檢查��,跟蹤用戶狀態
兩個Controller類:一個用來管理用戶登入登出��,一個是簡單的獲取主頁面信息
其中ServletFilter類代碼如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
package com.edinme.exam.filter;
import java.io.IOException;
import java.util.Date;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import com.editme.exam.util.FilterUtil;
public class SingleSignOnFilter implements Filter{
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
String ipAddress = httpRequest.getRemoteAddr();
// get URI resource path
String uriPath = httpRequest.getRequestURI();
String contextPath = httpRequest.getContextPath();
String cookie = httpRequest.getHeader("Cookie");
String sessionId = httpRequest.getSession().getId(); // enable SetCookie header in HTTP Response
if(FilterUtil.validURLRequest(uriPath, cookie, contextPath, sessionId))
{
System.out.println("Request URI : " + uriPath);
System.out.println("IP "+ipAddress + ", Time " + new Date().toString());
chain.doFilter(request, response);
}
else
{
System.out.println(httpRequest.getProtocol() + httpRequest.getLocalPort() + httpRequest.getContextPath());
httpResponse.sendRedirect("/exam/user.do");
}
}
@Override
public void init(FilterConfig config) throws ServletException {
// TODO Auto-generated method stub
}
}
|
用戶登入登出Controller:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
|
package com.edinme.exam.controller;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
|
CDA數據分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試��,點擊>>>
“CDA報名”
了解CDA考試詳情�����;
? 想學習CDA考試教材����,點擊>>> “CDA教材” 了解CDA考試詳情����;
? 想加入CDA考試題庫�,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量��,點擊>>> “CDA含金量” 了解CDA考試詳情�����;
數據分析咨詢請掃描二維碼
若不方便掃碼�����,搜微信號:CDAshujufenxi
京公網安備 11010802034615號
經營許可證編號:京B2-20210330
