單點登錄與權限管理本質：session和cookie介紹

本篇開始寫「單點登錄與權限管理」系列的第一部分：單點登錄與權限管理本質，這部分主要介紹相關的知識概念、抽象的處理過程、常見的實現框架。通過這部分的介紹，能夠對單點登錄與權限管理有整體上的了解，對其相關概念、處理流程、常見實現有個基本的認識。

本篇文章介紹下session和cookie，它是登錄實現的基礎，主要從下面幾個方面介紹：

• session和cookie基本概念
• session的生命周期
• cookie的作用域

cookie的跨域問題會在后續文章單獨介紹。

基本概念

大部分系統都需要識別用戶的身份，有些功能只有特定的用戶能使用，有些功能需要根據用戶身份顯示不同的內容，一般使用唯一編號標識用戶的身份。

就像我們的×××，×××號是每個人唯一的，根據所在的省市區、出生年月、性別等規則生成，我們去政府機構辦事時，都需要帶著×××，他們通過×××驗證我們的身份。

session和cookie主要用來識別登錄者身份的，默認通過JSESSIONID唯一編號進行驗證。session是在服務端保存的一個數據結構，用來跟蹤用戶的狀態，也可以保存用戶相關的一些數據，可以保存在內存、緩存、數據庫等存儲結構中。cookie是客戶端保存用戶信息的一種機制。

servlet session

javax.servlet.http包中是session的主要API接口，主要有以下幾種接口：

• HttpSession：實際的session接口定義；
• Listener：session發生一些動作，如創建，設置屬性，失效等，會觸發一些事件，進行相應的處理；
• Event：當動作觸發之后，封裝為對應的事件；

session相關的接口，一般由應用服務器來實現，比如Tomcat、Resin、Jetty。Session的主要特征：

• 可以設置和獲取一些屬性；
• 每個session對應一個編號sessionId，是一次會話的唯一表示；
• session有超時時間，用戶長時間無操作，維護的定時器會清除session，保證資源及時釋放；
• 可以通過調用invalidate方法主動清除session；

在tomcat中，HttpSession的實現是StandardSession，同時StandardSession會實現自定義的Session接口，它是對HttpSesion一個包裝。

另外，tomcat會實現session的管理和持久化，可隨時獲取到對應的session，具體實現不在本篇分析，網上有很多文章介紹。

cookie

cookie是客戶端的解決方案，是服務器發給客戶端的特殊信息，這些信息以文本文件的方式存放在客戶端，后續請求，客戶端都會帶上這些特殊的信息。

服務端通過HTTPResponse設置cookie到響應頭，發送到客戶端，后續客戶端自動將cookie信息設置到請求頭。下面是我登錄百度后的cookie信息：

cookie也有失效時間，可在服務端通過cookie.setMaxAge(expiry)進行設置，expiry=-1：代表瀏覽器關閉后，cookie就失效了；expiry>0：代表會將cookie保存到硬盤中，直到設置時間過期才會被瀏覽器自動刪除；expiry=0：刪除cookie，cookie都會被瀏覽器給刪除。

另外還有其他幾個特性：

• setDomain：設置cookie范圍，后面會詳細介紹；
• isHttpOnly：是否只是http協議使用。只能在后端通過getCookies()獲取，js不能獲取；
• 每一個cookie文件大小：4kb ， 如果超過4kb瀏覽器不識別；
• cookie不安全，可能泄露用戶信息，瀏覽器支持禁用cookie操作；
• 臨時session：默認生命周期，當瀏覽器關閉時cookie銷毀的；

交互過程

1. 使用瀏覽器訪問服務端頁面；
2. 服務端收到該客戶端第一次請求后，會創建一個session，生產一個唯一sessionId；
3. 同時在響應請求中設置cookie，屬性名為jessionid；
4. 客戶端收到后會保存jessionid，再次請求時，會在header中設置，服務端可從請求頭中獲取；
5. 服務端驗證獲取的sessionId是否存在，即可驗證是否是同一用戶；

當瀏覽器禁用cookie后，基于cookie的session將不能正常工作，每次都將創建一個新的session，可通過url重寫傳遞jsessionid。

session的生命周期

session存儲在服務器端，session在用戶第一次訪問時創建，訪問jsp、servlet等程序時才會創建Session，只訪問html、image等靜態資源并不會創建，可調用request.getSession(true)強制生成Session。

服務器會把長時間沒有活動的Session從內存中清除，tomcat中session的默認失效時間為20分鐘，可調用調用session的invalidate方法強制清楚。

另外，我們可以自己實現session生命周期的管理，以滿足特定的業務需求，比如后續要講的單點登錄、分布式session等，tomcat可提供了相應擴展，后續文章會介紹。

cookie的作用域

創建cookie時，需要設置domain，有多級域名時，可以控制cookie的作用域。如果網站請求量很大，設置的cookie作用域不當，會浪費很多流量。

下面舉例說明，比如有三級域名support.kefu.mi.com，其中，mi.com是一級域名，kefu.mi.com是二級域名。

在3類域名下進行cookie設置，分別設置不同的domain，看看訪問各級域名時cookie的有效性。當domain設置為空時，domain默認為當前域名。

在一級域名mi.com下設置cookie

當domain為一級域名時，一級域名、包括其下的子域名都可以接收到cookie。但是domain參數設置其子域名時，所有域名就接收不到了，包括那個子域名。

在二級域名kefu.mi.com下設置cookie

當domain為自身域名時，其父域名無法接收到cookie，其本身與其子域名可以接收到cookie。而設置其子域名或其他域名時，所有域名都接收不到cookie。

在三級域名mcc.kefu.mi.com下設置cookie

可以得出結論：domain參數可以設置父域名以及自身，但不能設置其它域名，包括子域名，否則cookie不起作用。