理解“http的无状态”、“cookie”和“账号密码”是怎样一起工作的-低调大师

理解“http的无状态”、“cookie”和“账号密码”是怎样一起工作的

2020-12-01 739

以前就知道“http请求是无状态的”，然后有人发明Cookie为http打了个补丁，解决“无状态”的问题。Cookie可以记录用户的身份喜好，但是却不能取代用户的账号密码功能，不过又可以用Cookie存储账号密码......如果面试官问，这些我都会说都知道。但其实自己并不理解，也就是“知其然不知其所以然”，今天感觉理解了，这里记录下。

首先，怎么理解“http请求是无状态的”？这可以理解为“http请求是无记忆的”，就是说如果浏览器向服务端发起一个http请求一个html页面，然后又刷新再请求相同页面，服务器并不会说“刚刚不是给你了吗？”，而是对方请求多少次，服务器就返回多少次页面，即使这些请求的内容都是一样的，这既浪费流量又浪费时间。这就叫“http请求是无状态的”。

不过实际上，如果用户不断刷新一个页面，请求相同的内容，服务器并不会真的每次又再给一个相同的页面返回，而是返回一个304状态码，翻译下就是：“刚刚才给你了，自己去找”，然后浏览器就会到本地缓存中把之前访问过的页面找出来，显示给用户。之所以http请求能这样，是因为引入了Cookie机制。

Cookie机制就像便条，http请求就像村里开小卖部但记性又极差的张伯，而且记忆是差到人脸都记不住的程度。张伯(http)在不会用便条(Cookie)时，做生意概不赊账，一手交钱一手交货。但是村里很多人出门不喜欢带钱，买小件东西喜欢赊账攒到一定额度一次性付清。结果就是这些人会觉得照顾张伯的生意很麻烦，张伯也少赚了一份钱。

张伯是怎么用便条的呢？因为记性差到人脸都记不住，所以他不光要自己记，还有写一张便条给买东西的人(Set-Cookie)。他会给买东西的人起个不会跟别人重复的名字(SESSID)，自己记着，让买东西的人也记着。以后想赊账的人，每次买东西就出示便条，张伯一核对，看便条上记录的是自己起的名字(SESSID)，二话不说就赊账。第一次来没有便条也不要紧，张伯现取一个(Set-Cookie)，一回生二回熟。综上所述，这就是Cookie对无状态的http发挥的作用。

可是问题又来了，既然Cookie可以识别用户，记录用户信息，那干嘛还要用户注册账号，登录时输入密码？主要有2个原因：1、Cookie机制本身有安全隐患；2、Cookie存储容量有限，存储时间有限。两个原因也可以理解成一个，因为正是Cookie的安全隐患，所以在设计上将其存储能力限制得很小，并且要设置过期时间，且允许用户主动删除。

Cookie的安全隐患和现实中便条的安全隐患是一样的。为了方便，便条总是贴在最显眼最容易让自己看到的地方，但自己方便看的同时，别人也方便看了，且因为能记录的地方太小，也记不了太多太复杂的事，又因为是临时粘在某个地方，时间一久也很容易脱落。这时商家如果想长期保存用户的喜好操作配置，为用户提供长期的定制化服务，Cookie显然不能升任了。

Cookie有安全隐患，记不了太多东西又记不久，干嘛不干脆禁止了，统一用账号密码机制？因为Cookie方便，且以最低的成本解决了http无状态的问题。Cookie的使用和发挥作用，对用户一方基本是透明无感知的，无任何使用成本，但是账号密码机制要求用户花时间精力填写注册表并提交，在提交成功后才有效，并且再次访问还有输入账号密码等待验证通过。相比Cookie繁琐很多。

简而言之，Cookie机制是便条，账号密码机制就是账本，便条可以记录一些简单的短期的信息，直接贴在最显眼的地方，有被偷窥的风险，但一般因为也不会记录太敏感的信息，且通常很快会被撕掉或自然脱落，所以虽然有风险基本无伤大雅。账本会记录非常详细的信息，且是长期的跟踪数据，但它一般是由专人保管，要保存在专门的档案室或档案柜中，所以安全系数高，同时它的使用成本也很高，拿出来，翻阅记录，放回都很麻烦。

Cookie机制和账号密码机制各有长短，二者的结合就可以取长补短，兼顾方便与安全。

最后，如何理解在Cookie中存账号密码的行为呢，也就是很多网站的“点击直接登录”功能？这就好比会计为了方便把档案柜的钥匙贴在工位的便条上，你说风险有多大，其实也不那么大，因为一般情况下会计的办公场所相对独立隔绝，进出人员有限且熟悉，但是如果严谨的考虑，无关人员有意无意造访会计办公场所，看到钥匙并偷拿的风险是确实存在的，所以谨慎的会计肯定会私下妥善保管档案柜的钥匙。Cookie也是一样，它在用户访问网站时被存在访问者的电脑中，上面就算记录了你网站的账号密码，但是一般谁能动你的个人电脑呢？不过如果严谨考虑，要是别人通过网络攻击，窃取Cookie怎么办？如果你是在别人电脑登录的网站怎么办？

这里采用了很多隐喻来帮助理解，但隐喻永远只能停留在感性认识上，感性认识就意味着肤浅与片面，有时甚至包含错误。要真正理解一个东西必须要上升到理性认识，但理性认识又不可能直接到达，必须经过感性认识的阶段，这就是这篇文章的意义吧。

微信关注我们

原文链接：https://my.oschina.net/710409599/blog/4767542

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

让人头痛的大事务问题到底要如何解决？

前言最近有个网友问了我一个问题：系统中大事务问题要如何处理？正好前段时间我在公司处理过这个问题，我们当时由于项目初期时间比较紧张，为了快速完成业务功能，忽略了系统部分性能问题。项目顺利上线后，专门抽了一个迭代的时间去解决大事务问题，目前已经优化完成，并且顺利上线。现给大家总结了一下，我们当时使用的一些解决办法，以便大家被相同问题困扰时，可以参考一下。大事务引发的问题在分享解决办法之前，先看看系统中如果出现大事务可能会引发哪些问题从上图可以看出如果系统中出现大事务时，问题还不小，所以我们在实际项目开发中应该尽量避免大事务的情况。如果我们已有系统中存在大事务问题，该如何解决呢？解决办法少用@Transactional注解大家在实际项目开发中，我们在业务方法加上@Transactional注解开启事务功能，这是非常普遍的做法，它被称为声明式事务。部分代码如下： @Transactional(rollbackFor=Exception.class) public void save(User user) { doSameThing... } 然而，我要说的第一条是：少用@Tr...

2020-11-30

541

Vue3 Teleport 组件的实践及原理

Vue3 的组合式 API 以及基于 Proxy 响应式原理已经有很多文章介绍过了，除了这些比较亮眼的更新，Vue3 还新增了一个内置组件：Teleport。这个组件的作用主要用来将模板内的 DOM 元素移动到其他位置。使用场景业务开发的过程中，我们经常会封装一些常用的组件，例如 Modal 组件。相信大家在使用 Modal 组件的过程中，经常会遇到一个问题，那就是 Modal 的定位问题。话不多说，我们先写一个简单的 Modal 组件。 <stylelang="scss">.modal{&__mask{position:fixed;top:0;left:0;width:100vw;height:100vh;background:rgba(0,0,0,0.5);}&__main{margin:0auto;margin-bottom:5%;margin-top:20%;width:500px;background:#fff;border-radius:8px;}/*省略部分样式*/}</style>...

2020-12-01

670

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。