session和cookie的介绍
1、将cookie,session之前,还是先说说http协议
- http协议是基于TCP/UDP之上的应用层一个标准
- 请求,响应的模式。是你必须先请求到一个服务端之后,服务端才会响应到你。他是不会无缘无故响应的
- 无状态性,意思是说你本次请求就是一个全新的请求,跟你上一次请求是没有关系的,这个和打10086人工服务一样,就算你前一分钟打了一次,后一分钟继续打一次,客服人员是记不住你是谁的
- 无连接性,你向服务端发出一个请求,服务端响应了你,那么便会关闭此次通道。
2、cookie的由来
前面说了http是无状态,无连接的,那么我想让服务端记住访问者的一个身份,就是说知道此次访问的是哪一个用户,服务端就可以把那个用户相关的一些数据进行返回回去。所以说这时需要一个标志性的东西,去代表用户的身份,这就是为什么要使用到cookie
2.1 cookie是什么呢?
它是保存在客户端上的键值对 , Key,Value的形式,浏览器会帮你标识是哪个服务端的cookie,下次你向那个服务端发出请求的话,会自动帮你带上cookie
服务端怎么通过cookie就知道你是哪位用户的?
服务端那边可以拿到你所携带的cookie,进行一系列的验证,验证成功了,就知道你是哪位用户了,所以这个cookie值必须要标识着用户,那么问题就是设计标识的cookie
// 我们可以设置将用户的id账号密码写成一个字典
user_info = {"id":1,"name":"朱宇","password":"123"}
// 然后我们可以将这个字典格式的数据进行加密,这里是伪代码
md5 = dict_to_md5(user_info)
// 设置成功后返回给浏览器
// 用户下次访问服务端,我们可以那个携带的cookie值,这是我们加密得到的
md5 = cookie值
// 再进行某种解密方法,得到加密前的数据,拿出用户的数据,再进行校验
user_info = md5_to_dict(md5)
通过cookie确实可以标志一个用户,但是也是存在一个安全隐患的。
2.2 cookie存在的不安全性
- 首先cookie它是保存在浏览器上面的,某些人可以通过某种手段就可以拿到你的cookie值,携带这个cookie向服务端发出请求,服务端它判断是哪个用户的依据只有cookie,所以就把拿着你cookie的人当成的你,对你的信息,财产带来严重危害。
- 假如你访问的服务端,他给你的返回的明文信息的话,那么你的信息就会呗泄露
3、session
3.1 session是什么
之前有了cookie他可以标识一个用户,但是cookie 它自身最大的支持4096字节,并且保存在浏览器中,相对来说不是太安全,因此出现可以自身可以支持更大字节的,且保存在服务端,这就是session。
3.2 session的流程
- 首先你向服务端发出一个请求,服务端接收到请求,会根据相关算法得到一个随机字符串,然后将你的信息进行加密,将这个随机字符串和加密之后的信息一同保存在数据库中
- 保存之后,生成一个cookie返回,cookie的key值为
session_id,这个key值你可以随意指定,value值就是那串随机的字符串。注意这个key值会用到。
4、注意
对于安全性比较的话,cookie和session都是差不多的,不存在session就比cookie安全
为什么这么说:上面说了session的一个流程,他最终返回的一个cookie值,那么攻击者就可以拿着session_id的值向你的服务端发请求,同样可以成功请求到,这样的方式难道不是和cookie不安全性的原因是差不多的吗?不一样的是攻击者获取到的cookie值会不会造成用户的信息泄露,用cookie的话,它是包含着用户一些标识的信息的,用session的话,只能得到你个加密后的字符串。要是用cookie的话,你可以将标识用户的信息进行加密,hash加密等等,这样的无法进行解密了。
5、在flask中怎么使用cookie,session
5.1 cookie的设置
from flask import Flask, Response
app = Flask(__name__)
@app.route('/index')
def index():
return "index page"
@app.route('/set_cookie')
def set_cookie():
response = Response('设置cooke')
response.set_cookie('name', '朱宇')
return response
if __name__ == "__main__":
app.run(debug=True)
# set_cookie它是Response的一个方法,里面还有其他很多参数,想了解的可以去看看源码,比如设置cookie的过期时间。
5.2 session的设置
from flask import Flask, session, Response
app = Flask(__name__)
@app.route('/index')
def index():
return "index page"
@app.route('/set_session')
def set_session():
session['name'] = '朱宇'
response = Response('设置session')
return response
if __name__ == "__main__":
app.run(debug=True)
启动上面这个flask,并向/set_session发请求,会报错,错误显示为

它的意思就是没有设置SECRET_KEY的值,为什么一定要设置呢?
我先解释下:首先sesion的数据都是放在服务端上的吧,django执行makemigrations,migrate 他会自动帮你做数据库迁移名命,默认在sqlite数据库中生成一些表,其中就有保存session的数据表,这些都是django给我们自带的,而我们flask是没有数据库的,所以这个session保存在哪里呢(前提是不安装其他数据库插件)?他会保存在浏览器,对!和cookie一样,不一样的是,这个是进行加密之后的,所有必须要先设置SECRET_KEY的值,相当于就是盐。
所以下上面代码的基础上,加上这段代码
app.config['SECRET_KEY'] = 'zhuchunyudashuaibi'
# 只可以随便写,只是一个盐
开启项目,继续发请求,下面是结果,返回了一个加密的session

6、结束
6.1 再提一点
关于对一个用户的标识,除了上面的这两种方式,出了一个jwt,可以去了解下
关于这个方面的内容更新完毕
session和cookie的介绍的更多相关文章
- session与cookie的介绍和两者的区别之其相互的关系
转:https://blog.csdn.net/weixin_37196194/article/details/55806366 本文分别对Cookie与Session做一个介绍和总结,并分别对两个知 ...
- session和cookie的知识总结
1.HTTP协议 由HTTP客户端发起一个请求,建立一个到服务器指定端口(默认是80端口)的TCP连接.HTTP服务器则在那个端口监听客户端发送过来的请求.一旦收到请求,服务器(向客户端)发回一个状态 ...
- session和cookie介绍以及session简单应用
介绍http协议与TCP协议: http协议:是短连接,关闭浏览器的时候断开与服务器的连接 TCP协议:是长连接,连接一直存在 http协议是在TCP协议 ...
- Cookie、Session登陆验证相关介绍和用法
一.Cookie和Session 首先.HTTP协议是无状态的:所谓的无状态是指每次的请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应直接影响,也不会直接 ...
- Session&Cookie 的介绍和使用
Session介绍与使用 1.Session基本介绍 Session:在计算机中,尤其是在网络应用中,称为“会话控制”.Session 对象存储特定用户会话所需的属性及配置信息.这样,当用户在应用程序 ...
- Introduction and use of Cookie and Session(Cookie&Session的介绍和使用)
一.Cookie 1.什么是Cookie? Cookie是HTTP协议的规范之一,它是服务器和客户端之间传输的小数据. 首先由服务器通过响应头把Cookie传输给客户端,客户端会将Cookie保存起来 ...
- 简单介绍session,cookie,token以及区别
Cookie简介 ①.是由服务器发给客户端的特殊信息,以文本的形式存放在客户端 ②.客户端再次请求的时候,会把Cookie回发给服务器 ③.服务器接收到后,会解析Cookie生成与客户端相对应的内容 ...
- session与cookie的区别---
session和cookie的最大区别在于session是保存在服务端的内存中, 而cookie保存与浏览器或客户端文件里面: session是基于访问的进程,记录了一个访问的开始到结束,当浏览器或进 ...
- 转!!深入理解 Session 与 Cookie
摘要 Session 与 Cookie 不管是对 Java Web 的初学者还是熟练使用者来说都是一个令人头疼的问题.在初入职场时恐怕很多程序员在面试的时候都被问到过这个问题.其实这个问题回答起来既简 ...
随机推荐
- SQLServer 2016 Express 安装部署,并配置支持远程连接
在项目中需要用到SQLServer,于是安装部署了SQLServer,部署的过程中遇到了一下问题,记录一下以便之后遇到同样问题能快速解决. 一.安装包下载 首先下载必要的安装包: 1.SQLServe ...
- common-jdbc:一个基于SpringJdbcTemplate的高性能数据库操作工具类库
项目地址:https://gitee.com/cnsugar/common-jdbc 一.简介 基于SpringJdbcTemplate的高性能数据库操作工具类库,支持mysql.oracle数据库, ...
- csharp: DataTable结构相同的比较
) ) * pageSize; ; i++) { DataRow newdr = newdt.NewRow(); DataRow dr = dt.Rows[i]; foreach (Dat ...
- MockPlus的使用方法简介
不废话直接上图,不明白的留言.
- H5前端的行业知识
今天咱们不说代码!咱们说点行内的只是吧!! 一.前端基本技能: 会点设计,不要求精湛,处理图片,设计个小广告是要的: 精通HTML+CSS,并能快速处理各浏览器兼容问题: 熟练掌握Javascript ...
- Android 环信聊天头像昵称显示解决方案
从消息扩展中获取昵称和头像 昵称和头像的获取:把用户基本的昵称和头像的URL放到消息的扩展中,通过消息传递给接收方,当收到一条消息时,则能通过消息的扩展得到发送者的昵称和头像URL,然后保存到本地数据 ...
- @Component 注解
@Component a) 初始化的名字默认为类名首字母小写:UserService 在容器中默认为 userService b) 可以指定初始化 bean 的名字: @Component(valu ...
- c#中 定时器周期执行某事件 以及,重置 定时器重新计时的方法
static void Main(string[] args) { System.Timers.Timer timer = new System.Timers.Timer(); timer.Enabl ...
- FIFO认识(一)
1.什么是FIFO? FIFO是英文First In First Out 的缩写,是一种先进先出的数据缓存器,他与普通存储器的区别是没有外部读写地址线,这样使用起来非常简单,但缺点就是只能顺序写入数据 ...
- python操作oracle小测试
首先使用python操作数据库需要导入cx_Oracle包import cx_Oracle这个包需要单独下载,下载地址:https://pypi.python.org/pypi/cx_Oracle使用 ...