最近在使用南航的APP时,都会跳出一个提示:
说是要采集Cookie,并且承诺会保密存储。也许很多非技术的用户并不理解什么是Cookie,可是看到这种义正言辞的提示,也应该能知道Cookie看起来是一个很重要的东西,并且可能会和用户身份有关系。那Cookie到底是什么东西?又有什么作用呢?
一 无状态的HTTP/HTTPS协议
HTTP协议当前是几乎是所有应用甚至服务内部通信的标准协议,自己开发基于Socket的应用已经少之又少。而HTTP是一个无状态的协议。所谓无状态也就说客户端向服务器的每次请求都是独立的,之间是没有任何关联的,比如
如果基于基本的HTTP协议实现一个用户请求水果的场景,那么在第二步时,服务器端给的苹果就可能不是王五所需要的。很显然,这很不互联网,也很不人性化,更不个性化。因此呢,在第二次请求时,服务端必须知道是谁需要水果,更改后的流程就成了:
可是仔细看就会发现一个问题,在登录时,服务器端给了一个令牌,第二次请求时,客户端拿了令牌表明自己的身份。那么问题就来了,HTTP既然是无状态的,那么这个令牌怎么在两个请求之间传递的呢?Cookie就派上用场了。
二 Cookie
在上面的例子,可以简单把这个令牌理解为Cookie。它其实是在客户端的一段文本信息,那么在客户端再次向服务器端发送请求时,就会把这个Cookie一同发送,这样服务器端就可以判断请求者的身份了。在发送到服务器的请求中,Cookie被当成HTTP头的一部分
当然Cookie不仅能存储用户身份,也可以存储其他需要在客户端保存的信息,服务器端和客户端都可以操作Cookie。那么Cookie到底是什么样子的呢,就是下面的样子:
看起来比较不容易理解,那是因为数据被加了密,再仔细观察,就可以看到通过“=”连接的键值对,那么这个其实就是Cookie中存储的数据样式。
数据被存储在客户端,就存在被窃取和利用的问题,除了应用程序自己加密以外,Cookie还具有不可跨域性,也是说一个网站只能自己网站上用,其他域是无法访问的。还可以为Cookie设置有效期,到期之后Cooke数据就无法在使用了。
三 Cookie的常用方法
【长时登录】
现在很多网站打开后,都不需要登录,因为在第一次验证完成后,用户的身份信息就被保存在了客户端,可以继续为用户提供个性化的服务。从安全性考虑,一般情况下,服务提供者会采用:指定的Cookie的过期时间;在敏感操作时开启二次验证,再次确认用户身份。
【识别身份】
这个刚才的例子已经说了,尤其是对于分布部署的系统,如果服务器端通过Session识别用户,就必须要求支持Session粘滞的负载均衡器。可是这就有可能造成某些服务器负载过大。这个时候就可以用Cookie存储用户,然后服务器随机分配,只需要在处理业务逻辑时判断用户身份即可。很多网站的反扒机制,都会通过cookie进行异常访问识别,因此在抓取时,就需要将Cookie一起发送:
好了,今天的内容就讲到这里,希望对你所有帮助!