草莓熊Lotso个人主页❄️个人专栏:《C知识分享》 《Linux 入门到实践零基础也能懂》✨生活是默默的坚持毅力是永久的享受 博主简介文章目录前言一. 为什么需要会话保持HTTP 的无状态特性1.1 无连接1.2 无状态二. Version 1Cookie 解决方案 —— 把状态存在客户端2.1 Cookie 的定义与工作原理2.2 Cookie 的完整格式与属性详解2.3 Cookie 的分类与存储2.4 Cookie 的安全缺陷三. Version 2Session 解决方案 —— 把状态存在服务端3.1 Session 的工作原理3.2 Session 的核心数据结构四. 源码实战C 实现 HTTP 会话管理补充扩展想看的可以看看4.1 生成符合 RFC 标准的过期时间4.2 解析 HTTP 请求中的 Cookie4.3 实现登录与会话保持逻辑4.4 实验验证五. 抓包验证用 HTTP Toolkit 看会话流程5.1 抓包原理5.2 抓包结果分析六. 总结与进阶6.1 Cookie 与 Session 对比6.2 安全性增强措施6.3 进阶方向结尾前言相信大家都有过这样的体验登录 B 站后关闭浏览器第二天打开依然保持登录状态在购物网站添加商品到购物车刷新页面后商品不会消失。但我们都知道HTTP 协议本身是无状态、无连接的服务器根本 “记不住” 之前和哪个客户端打过交道。那么网站是如何识别我们身份的这背后的核心技术就是Cookie 与 Session。本文将从 HTTP 无状态的本质出发一步步拆解 Cookie 的工作原理、安全缺陷再到 Session 的解决方案并结合 C 源码带你从零实现一个基础的会话管理系统彻底搞懂 Web 会话保持的底层逻辑。一. 为什么需要会话保持HTTP 的无状态特性在讲 Cookie 之前我们必须先搞清楚 HTTP 协议的两个核心特性1.1 无连接HTTP 本身不维护连接状态它的底层依赖 TCP 协议实现数据传输。所谓 “无连接” 是指 HTTP 协议层面不需要建立和释放连接的过程每次请求都是独立的由底层 TCP 负责连接管理。1.2 无状态这是最关键的一点HTTP 服务器不会记住任何客户端的历史请求信息。每一个请求都是完全独立的服务器处理完请求后就会忘记这个客户端的一切。如果没有会话保持机制会发生什么每打开一个新页面都需要重新输入账号密码登录购物车功能无法实现刷新页面商品就会消失无法记录用户的个性化偏好如主题、语言设置为了解决这些问题我们需要一种机制让服务器能够 “记住” 客户端这就是会话保持。二. Version 1Cookie 解决方案 —— 把状态存在客户端Cookie 是最早的会话保持方案它的核心思想非常简单既然服务器记不住那就让客户端自己记住。2.1 Cookie 的定义与工作原理HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据它会在浏览器后续向同一服务器发起请求时被自动携带并发送回服务器。完整的工作流程分为三步首次访问用户第一次访问网站服务器在 HTTP 响应头中添加Set-Cookie字段将需要保存的信息发送给浏览器本地存储浏览器接收到Set-Cookie后将 Cookie 数据按照域名分类保存在本地通常是 SQLite 数据库格式自动携带后续浏览器向同一域名发起任何请求时都会自动在 HTTP 请求头中添加Cookie字段将保存的 Cookie 信息发送给服务器2.2 Cookie 的完整格式与属性详解Set-Cookie响应头有严格的格式要求一个完整的 Cookie 示例如下Set-Cookie:usernamepeter;expiresThu,18Dec202412:00:00 UTC;path/;domain.example.com;secure;HttpOnly各个属性的作用如下表所示属性示例值描述namevalueusernamepeterCookie 的名称和值是唯一必填的属性expiresdateThu, 18 Dec 2024 12:00:00 UTCCookie 的过期时间必须遵循 RFC 1123 标准格式UTC 时间pathpath/Cookie 的作用路径只有访问该路径及其子路径时才会携带 Cookiedomaindomain.example.comCookie 的作用域名点前缀表示包括所有子域名secure-标记后 Cookie 仅在 HTTPS 连接中发送防止明文传输被截获HttpOnly-标记后 Cookie 无法被客户端 JavaScript 访问有效防止 XSS 攻击重要注意事项时间格式必须使用 UTC 时间不能使用本地时间。在 C 中需要用gmtime()而不是localtime()来生成如果不设置expires属性Cookie 默认为会话 Cookie浏览器关闭后立即失效path属性默认是设置 Cookie 的页面路径设置为/才能让 Cookie 在全站生效2.3 Cookie 的分类与存储Cookie 主要分为两类会话 CookieSession Cookie存储在浏览器进程内存中浏览器关闭后自动删除持久 CookiePersistent Cookie带有明确的过期时间存储在浏览器的本地文件中SQLite 数据库格式不同浏览器的 Cookie 存储路径Windows ChromeC:\Users\用户名\AppData\Local\Google\Chrome\User Data\Default\Network\CookiesWindows EdgeC:\Users\用户名\AppData\Local\Microsoft\Edge\User Data\Default\CookiesmacOS Chrome/Users/用户名/Library/Application Support/Google/Chrome/Default/Cookies2.4 Cookie 的安全缺陷虽然 Cookie 解决了 HTTP 无状态的问题但它存在致命的安全隐患信息泄露风险Cookie 存储在客户端所有敏感信息如账号密码都可能被恶意软件窃取盗号风险黑客一旦获取用户的 Cookie就可以伪装成该用户访问网站实现 “免密登录”篡改风险Cookie 数据可以被客户端随意修改服务器无法验证其真实性正是因为这些缺陷单纯使用 Cookie 进行会话管理已经不再安全于是就有了 Session 方案。三. Version 2Session 解决方案 —— 把状态存在服务端Session 的核心思想是将用户的敏感信息从客户端转移到服务端存储客户端只保存一个唯一的身份标识。3.1 Session 的工作原理Session 的完整工作流程用户登录客户端发送账号密码到服务器进行身份验证创建 Session验证通过后服务器在本地创建一个 Session 对象生成一个全局唯一的 Session ID返回 Session ID服务器通过Set-Cookie将 Session ID 发送给客户端后续请求客户端后续所有请求都会自动携带包含 Session ID 的 Cookie身份验证服务器接收到请求后通过 Session ID 查找对应的 Session 对象从而识别用户身份核心优势客户端只保存一个无意义的随机字符串Session ID即使被窃取黑客也无法获取用户的任何敏感信息。3.2 Session 的核心数据结构一个基础的 Session 对象至少需要包含以下信息Session ID全局唯一的随机字符串用于标识会话用户 ID关联到具体的用户账号创建时间用于计算会话过期时间用户状态如登录状态、权限信息等在 C 中我们可以用类来表示 Session// Session.hpp#pragmaonce#includestring#includectime#includememory#includeunordered_mapclassSession{public:Session(conststd::stringusername,conststd::stringstatus):_username(username),_status(status){_create_timetime(nullptr);// 记录创建时间戳}~Session()default;public:std::string _username;// 用户名std::string _status;// 登录状态uint64_t_create_time;// 创建时间戳// 可扩展用户ID、权限、过期时间等};usingsession_ptrstd::shared_ptrSession;为了管理大量的 Session 对象我们需要一个 Session 管理器classSessionManager{public:SessionManager(){srand(time(nullptr)^getpid());// 初始化随机数种子}// 添加新Session返回生成的Session IDstd::stringAddSession(session_ptr s){// 简单实现随机数时间戳生成Session ID// 生产环境建议使用boost.uuid等专业库生成uint32_trandom_idrand()time(nullptr);std::string session_idstd::to_string(random_id);_sessions.insert(std::make_pair(session_id,s));returnsession_id;}// 根据Session ID查找Sessionsession_ptrGetSession(conststd::stringsession_id){autoit_sessions.find(session_id);if(it_sessions.end())returnnullptr;returnit-second;}private:// 用哈希表存储Session ID到Session对象的映射std::unordered_mapstd::string,session_ptr_sessions;};生产环境注意事项上述代码中的 Session ID 生成方式仅用于演示实际应用中应使用128 位以上的强随机字符串如 UUID不要将 Session 存储在内存中服务器重启会丢失所有会话生产环境通常使用Redis等内存数据库存储需要实现 Session 过期清理机制定期删除过期的 Session四. 源码实战C 实现 HTTP 会话管理补充扩展想看的可以看看下面我们结合之前实现的 HTTP 服务器完整实现基于 Cookie 和 Session 的登录与会话保持功能。4.1 生成符合 RFC 标准的过期时间首先实现一个工具函数生成符合 RFC 1123 标准的 UTC 时间字符串// HttpProtocol.hpp#includevector#includecstdio#includectimestd::stringGetMonthName(intmonth){std::vectorstd::stringmonths{Jan,Feb,Mar,Apr,May,Jun,Jul,Aug,Sep,Oct,Nov,Dec};returnmonths[month];}std::stringGetWeekDayName(intday){std::vectorstd::stringweekdays{Sun,Mon,Tue,Wed,Thu,Fri,Sat};returnweekdays[day];}// 生成RFC 1123格式的UTC时间t为未来的秒数std::stringExpireTimeUseRfc1123(intt){time_t timeouttime(nullptr)t;structtm*tmgmtime(timeout);// 必须用gmtime获取UTC时间chartimebuffer[1024];snprintf(timebuffer,sizeof(timebuffer),%s, %02d %s %d %02d:%02d:%02d UTC,GetWeekDayName(tm-tm_wday).c_str(),tm-tm_mday,GetMonthName(tm-tm_mon).c_str(),tm-tm_year1900,tm-tm_hour,tm-tm_min,tm-tm_sec);returnstd::string(timebuffer);}4.2 解析 HTTP 请求中的 Cookie在 HttpRequest 类中添加 Cookie 和 Session ID 的解析逻辑classHttpRequest{public:// ... 其他成员函数 ...voidParse(){// 解析请求行...std::stringstreamss(_req_line);ss_method_url_http_version;// 解析Cookiestd::string prefixCookie: ;for(constautoline:_req_header){if(line.substr(0,prefix.size())prefix){std::string cookieline.substr(prefix.size());_cookies.push_back(cookie);break;}}// 从Cookie中提取Session IDprefixsessionid;for(constautocookie:_cookies){if(cookie.substr(0,prefix.size())prefix){_sessionidcookie.substr(prefix.size());break;}}}std::stringSessionId()const{return_sessionid;}private:// ... 其他成员变量 ...std::vectorstd::string_cookies;// 存储所有Cookiestd::string _sessionid;// 提取出的Session ID};4.3 实现登录与会话保持逻辑在 HTTP 服务器的请求处理函数中实现登录和 Session 验证逻辑classHttp{public:Http(uint16_tport):_tsvr(std::make_uniqueTcpServer(port,std::bind(Http::HandlerHttp,this,std::placeholders::_1))),_session_manager(std::make_uniqueSessionManager()){_tsvr-Init();}std::stringHandlerHttp(std::string request){HttpRequest req;HttpResponse resp;req.Deserialize(request);req.Parse();staticintuser_counter0;// 登录接口创建Session并返回Session IDif(req.Url()/login){std::string session_idreq.SessionId();// 如果没有Session ID说明是首次登录if(session_id.empty()){// 这里简化了账号密码验证实际应用中需要查询数据库std::string usernameuser-std::to_string(user_counter);session_ptr sstd::make_sharedSession(username,logined);session_id_session_manager-AddSession(s);// 将Session ID通过Set-Cookie返回给客户端resp.AddHeader(Set-Cookie: sessionidsession_id; path/;);printf([Debug] %s 登录成功Session ID: %s\n,username.c_str(),session_id.c_str());}else{// 已有Session ID验证是否有效session_ptr s_session_manager-GetSession(session_id);if(s!nullptr){printf([Debug] %s 正在活跃\n,s-_username.c_str());}else{printf([Debug] Session ID %s 已过期\n,session_id.c_str());}}}// 构造响应resp.SetCode(200);resp.SetDesc(OK);resp.AddHeader(Content-Type: text/html);resp.AddContent(htmlh1Hello World/h1/html);returnresp.Serialize();}voidRun(){_tsvr-Start();}private:std::unique_ptrTcpServer_tsvr;std::unique_ptrSessionManager_session_manager;};4.4 实验验证编译并运行 HTTP 服务器打开两个不同的浏览器如 Chrome 和 Edge同时访问http://服务器IP:端口/login观察服务器日志会看到两个不同的用户被创建分别刷新两个浏览器的页面服务器会正确识别出是哪个用户在访问删除任意一个浏览器的 Cookie再次刷新页面会看到服务器提示 Session 已过期五. 抓包验证用 HTTP Toolkit 看会话流程为了更直观地理解 Cookie 和 Session 的工作过程我们可以使用HTTP Toolkit进行抓包分析5.1 抓包原理HTTP 抓包工具本质上是一个代理服务器它通过修改系统的 HTTP 代理环境变量让浏览器的所有请求都经过抓包工具转发。这样工具就能完整捕获请求和响应的所有内容。5.2 抓包结果分析首次登录请求请求GET /login HTTP/1.1请求头中没有 Cookie 字段响应HTTP/1.1 200 OK响应头中包含Set-Cookie: sessionid123456; path/;后续请求请求GET /any/path HTTP/1.1请求头中自动添加了Cookie: sessionid123456响应服务器根据 Session ID 识别用户身份返回对应内容六. 总结与进阶6.1 Cookie 与 Session 对比特性CookieSession存储位置客户端浏览器服务端内存 / 数据库安全性低容易被窃取和篡改高仅传递 Session ID存储容量有限通常每个 Cookie ≤ 4KB无限制取决于服务端存储生命周期可设置持久化跨浏览器会话服务器重启会丢失除非持久化适用场景非敏感信息如主题、语言用户身份认证、敏感信息6.2 安全性增强措施虽然 Session 比 Cookie 安全但 Session ID 被窃取依然会导致盗号问题。实际应用中可以通过以下措施增强安全性设置 Cookie 属性添加HttpOnly防止 XSS 攻击添加Secure仅在 HTTPS 下传输Session 过期机制设置合理的 Session 过期时间定期清理过期会话异地登录检测检测到 IP 地址变化时强制用户重新登录绑定设备信息将 Session ID 与用户的设备信息如 User-Agent绑定使用 HTTPS全程加密传输防止 Session ID 在网络传输中被截获6.3 进阶方向分布式 Session 共享在集群环境下使用 Redis 实现多服务器之间的 Session 共享JWTJSON Web Token无状态的身份认证方案不需要服务端存储 SessionOAuth 2.0第三方授权协议广泛应用于微信、QQ 等第三方登录结尾
【Linux网络】深入理解 HTTP 协议(五):Cookie 与 Session从无状态到会话保持的底层实现
草莓熊Lotso个人主页❄️个人专栏:《C知识分享》 《Linux 入门到实践零基础也能懂》✨生活是默默的坚持毅力是永久的享受 博主简介文章目录前言一. 为什么需要会话保持HTTP 的无状态特性1.1 无连接1.2 无状态二. Version 1Cookie 解决方案 —— 把状态存在客户端2.1 Cookie 的定义与工作原理2.2 Cookie 的完整格式与属性详解2.3 Cookie 的分类与存储2.4 Cookie 的安全缺陷三. Version 2Session 解决方案 —— 把状态存在服务端3.1 Session 的工作原理3.2 Session 的核心数据结构四. 源码实战C 实现 HTTP 会话管理补充扩展想看的可以看看4.1 生成符合 RFC 标准的过期时间4.2 解析 HTTP 请求中的 Cookie4.3 实现登录与会话保持逻辑4.4 实验验证五. 抓包验证用 HTTP Toolkit 看会话流程5.1 抓包原理5.2 抓包结果分析六. 总结与进阶6.1 Cookie 与 Session 对比6.2 安全性增强措施6.3 进阶方向结尾前言相信大家都有过这样的体验登录 B 站后关闭浏览器第二天打开依然保持登录状态在购物网站添加商品到购物车刷新页面后商品不会消失。但我们都知道HTTP 协议本身是无状态、无连接的服务器根本 “记不住” 之前和哪个客户端打过交道。那么网站是如何识别我们身份的这背后的核心技术就是Cookie 与 Session。本文将从 HTTP 无状态的本质出发一步步拆解 Cookie 的工作原理、安全缺陷再到 Session 的解决方案并结合 C 源码带你从零实现一个基础的会话管理系统彻底搞懂 Web 会话保持的底层逻辑。一. 为什么需要会话保持HTTP 的无状态特性在讲 Cookie 之前我们必须先搞清楚 HTTP 协议的两个核心特性1.1 无连接HTTP 本身不维护连接状态它的底层依赖 TCP 协议实现数据传输。所谓 “无连接” 是指 HTTP 协议层面不需要建立和释放连接的过程每次请求都是独立的由底层 TCP 负责连接管理。1.2 无状态这是最关键的一点HTTP 服务器不会记住任何客户端的历史请求信息。每一个请求都是完全独立的服务器处理完请求后就会忘记这个客户端的一切。如果没有会话保持机制会发生什么每打开一个新页面都需要重新输入账号密码登录购物车功能无法实现刷新页面商品就会消失无法记录用户的个性化偏好如主题、语言设置为了解决这些问题我们需要一种机制让服务器能够 “记住” 客户端这就是会话保持。二. Version 1Cookie 解决方案 —— 把状态存在客户端Cookie 是最早的会话保持方案它的核心思想非常简单既然服务器记不住那就让客户端自己记住。2.1 Cookie 的定义与工作原理HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据它会在浏览器后续向同一服务器发起请求时被自动携带并发送回服务器。完整的工作流程分为三步首次访问用户第一次访问网站服务器在 HTTP 响应头中添加Set-Cookie字段将需要保存的信息发送给浏览器本地存储浏览器接收到Set-Cookie后将 Cookie 数据按照域名分类保存在本地通常是 SQLite 数据库格式自动携带后续浏览器向同一域名发起任何请求时都会自动在 HTTP 请求头中添加Cookie字段将保存的 Cookie 信息发送给服务器2.2 Cookie 的完整格式与属性详解Set-Cookie响应头有严格的格式要求一个完整的 Cookie 示例如下Set-Cookie:usernamepeter;expiresThu,18Dec202412:00:00 UTC;path/;domain.example.com;secure;HttpOnly各个属性的作用如下表所示属性示例值描述namevalueusernamepeterCookie 的名称和值是唯一必填的属性expiresdateThu, 18 Dec 2024 12:00:00 UTCCookie 的过期时间必须遵循 RFC 1123 标准格式UTC 时间pathpath/Cookie 的作用路径只有访问该路径及其子路径时才会携带 Cookiedomaindomain.example.comCookie 的作用域名点前缀表示包括所有子域名secure-标记后 Cookie 仅在 HTTPS 连接中发送防止明文传输被截获HttpOnly-标记后 Cookie 无法被客户端 JavaScript 访问有效防止 XSS 攻击重要注意事项时间格式必须使用 UTC 时间不能使用本地时间。在 C 中需要用gmtime()而不是localtime()来生成如果不设置expires属性Cookie 默认为会话 Cookie浏览器关闭后立即失效path属性默认是设置 Cookie 的页面路径设置为/才能让 Cookie 在全站生效2.3 Cookie 的分类与存储Cookie 主要分为两类会话 CookieSession Cookie存储在浏览器进程内存中浏览器关闭后自动删除持久 CookiePersistent Cookie带有明确的过期时间存储在浏览器的本地文件中SQLite 数据库格式不同浏览器的 Cookie 存储路径Windows ChromeC:\Users\用户名\AppData\Local\Google\Chrome\User Data\Default\Network\CookiesWindows EdgeC:\Users\用户名\AppData\Local\Microsoft\Edge\User Data\Default\CookiesmacOS Chrome/Users/用户名/Library/Application Support/Google/Chrome/Default/Cookies2.4 Cookie 的安全缺陷虽然 Cookie 解决了 HTTP 无状态的问题但它存在致命的安全隐患信息泄露风险Cookie 存储在客户端所有敏感信息如账号密码都可能被恶意软件窃取盗号风险黑客一旦获取用户的 Cookie就可以伪装成该用户访问网站实现 “免密登录”篡改风险Cookie 数据可以被客户端随意修改服务器无法验证其真实性正是因为这些缺陷单纯使用 Cookie 进行会话管理已经不再安全于是就有了 Session 方案。三. Version 2Session 解决方案 —— 把状态存在服务端Session 的核心思想是将用户的敏感信息从客户端转移到服务端存储客户端只保存一个唯一的身份标识。3.1 Session 的工作原理Session 的完整工作流程用户登录客户端发送账号密码到服务器进行身份验证创建 Session验证通过后服务器在本地创建一个 Session 对象生成一个全局唯一的 Session ID返回 Session ID服务器通过Set-Cookie将 Session ID 发送给客户端后续请求客户端后续所有请求都会自动携带包含 Session ID 的 Cookie身份验证服务器接收到请求后通过 Session ID 查找对应的 Session 对象从而识别用户身份核心优势客户端只保存一个无意义的随机字符串Session ID即使被窃取黑客也无法获取用户的任何敏感信息。3.2 Session 的核心数据结构一个基础的 Session 对象至少需要包含以下信息Session ID全局唯一的随机字符串用于标识会话用户 ID关联到具体的用户账号创建时间用于计算会话过期时间用户状态如登录状态、权限信息等在 C 中我们可以用类来表示 Session// Session.hpp#pragmaonce#includestring#includectime#includememory#includeunordered_mapclassSession{public:Session(conststd::stringusername,conststd::stringstatus):_username(username),_status(status){_create_timetime(nullptr);// 记录创建时间戳}~Session()default;public:std::string _username;// 用户名std::string _status;// 登录状态uint64_t_create_time;// 创建时间戳// 可扩展用户ID、权限、过期时间等};usingsession_ptrstd::shared_ptrSession;为了管理大量的 Session 对象我们需要一个 Session 管理器classSessionManager{public:SessionManager(){srand(time(nullptr)^getpid());// 初始化随机数种子}// 添加新Session返回生成的Session IDstd::stringAddSession(session_ptr s){// 简单实现随机数时间戳生成Session ID// 生产环境建议使用boost.uuid等专业库生成uint32_trandom_idrand()time(nullptr);std::string session_idstd::to_string(random_id);_sessions.insert(std::make_pair(session_id,s));returnsession_id;}// 根据Session ID查找Sessionsession_ptrGetSession(conststd::stringsession_id){autoit_sessions.find(session_id);if(it_sessions.end())returnnullptr;returnit-second;}private:// 用哈希表存储Session ID到Session对象的映射std::unordered_mapstd::string,session_ptr_sessions;};生产环境注意事项上述代码中的 Session ID 生成方式仅用于演示实际应用中应使用128 位以上的强随机字符串如 UUID不要将 Session 存储在内存中服务器重启会丢失所有会话生产环境通常使用Redis等内存数据库存储需要实现 Session 过期清理机制定期删除过期的 Session四. 源码实战C 实现 HTTP 会话管理补充扩展想看的可以看看下面我们结合之前实现的 HTTP 服务器完整实现基于 Cookie 和 Session 的登录与会话保持功能。4.1 生成符合 RFC 标准的过期时间首先实现一个工具函数生成符合 RFC 1123 标准的 UTC 时间字符串// HttpProtocol.hpp#includevector#includecstdio#includectimestd::stringGetMonthName(intmonth){std::vectorstd::stringmonths{Jan,Feb,Mar,Apr,May,Jun,Jul,Aug,Sep,Oct,Nov,Dec};returnmonths[month];}std::stringGetWeekDayName(intday){std::vectorstd::stringweekdays{Sun,Mon,Tue,Wed,Thu,Fri,Sat};returnweekdays[day];}// 生成RFC 1123格式的UTC时间t为未来的秒数std::stringExpireTimeUseRfc1123(intt){time_t timeouttime(nullptr)t;structtm*tmgmtime(timeout);// 必须用gmtime获取UTC时间chartimebuffer[1024];snprintf(timebuffer,sizeof(timebuffer),%s, %02d %s %d %02d:%02d:%02d UTC,GetWeekDayName(tm-tm_wday).c_str(),tm-tm_mday,GetMonthName(tm-tm_mon).c_str(),tm-tm_year1900,tm-tm_hour,tm-tm_min,tm-tm_sec);returnstd::string(timebuffer);}4.2 解析 HTTP 请求中的 Cookie在 HttpRequest 类中添加 Cookie 和 Session ID 的解析逻辑classHttpRequest{public:// ... 其他成员函数 ...voidParse(){// 解析请求行...std::stringstreamss(_req_line);ss_method_url_http_version;// 解析Cookiestd::string prefixCookie: ;for(constautoline:_req_header){if(line.substr(0,prefix.size())prefix){std::string cookieline.substr(prefix.size());_cookies.push_back(cookie);break;}}// 从Cookie中提取Session IDprefixsessionid;for(constautocookie:_cookies){if(cookie.substr(0,prefix.size())prefix){_sessionidcookie.substr(prefix.size());break;}}}std::stringSessionId()const{return_sessionid;}private:// ... 其他成员变量 ...std::vectorstd::string_cookies;// 存储所有Cookiestd::string _sessionid;// 提取出的Session ID};4.3 实现登录与会话保持逻辑在 HTTP 服务器的请求处理函数中实现登录和 Session 验证逻辑classHttp{public:Http(uint16_tport):_tsvr(std::make_uniqueTcpServer(port,std::bind(Http::HandlerHttp,this,std::placeholders::_1))),_session_manager(std::make_uniqueSessionManager()){_tsvr-Init();}std::stringHandlerHttp(std::string request){HttpRequest req;HttpResponse resp;req.Deserialize(request);req.Parse();staticintuser_counter0;// 登录接口创建Session并返回Session IDif(req.Url()/login){std::string session_idreq.SessionId();// 如果没有Session ID说明是首次登录if(session_id.empty()){// 这里简化了账号密码验证实际应用中需要查询数据库std::string usernameuser-std::to_string(user_counter);session_ptr sstd::make_sharedSession(username,logined);session_id_session_manager-AddSession(s);// 将Session ID通过Set-Cookie返回给客户端resp.AddHeader(Set-Cookie: sessionidsession_id; path/;);printf([Debug] %s 登录成功Session ID: %s\n,username.c_str(),session_id.c_str());}else{// 已有Session ID验证是否有效session_ptr s_session_manager-GetSession(session_id);if(s!nullptr){printf([Debug] %s 正在活跃\n,s-_username.c_str());}else{printf([Debug] Session ID %s 已过期\n,session_id.c_str());}}}// 构造响应resp.SetCode(200);resp.SetDesc(OK);resp.AddHeader(Content-Type: text/html);resp.AddContent(htmlh1Hello World/h1/html);returnresp.Serialize();}voidRun(){_tsvr-Start();}private:std::unique_ptrTcpServer_tsvr;std::unique_ptrSessionManager_session_manager;};4.4 实验验证编译并运行 HTTP 服务器打开两个不同的浏览器如 Chrome 和 Edge同时访问http://服务器IP:端口/login观察服务器日志会看到两个不同的用户被创建分别刷新两个浏览器的页面服务器会正确识别出是哪个用户在访问删除任意一个浏览器的 Cookie再次刷新页面会看到服务器提示 Session 已过期五. 抓包验证用 HTTP Toolkit 看会话流程为了更直观地理解 Cookie 和 Session 的工作过程我们可以使用HTTP Toolkit进行抓包分析5.1 抓包原理HTTP 抓包工具本质上是一个代理服务器它通过修改系统的 HTTP 代理环境变量让浏览器的所有请求都经过抓包工具转发。这样工具就能完整捕获请求和响应的所有内容。5.2 抓包结果分析首次登录请求请求GET /login HTTP/1.1请求头中没有 Cookie 字段响应HTTP/1.1 200 OK响应头中包含Set-Cookie: sessionid123456; path/;后续请求请求GET /any/path HTTP/1.1请求头中自动添加了Cookie: sessionid123456响应服务器根据 Session ID 识别用户身份返回对应内容六. 总结与进阶6.1 Cookie 与 Session 对比特性CookieSession存储位置客户端浏览器服务端内存 / 数据库安全性低容易被窃取和篡改高仅传递 Session ID存储容量有限通常每个 Cookie ≤ 4KB无限制取决于服务端存储生命周期可设置持久化跨浏览器会话服务器重启会丢失除非持久化适用场景非敏感信息如主题、语言用户身份认证、敏感信息6.2 安全性增强措施虽然 Session 比 Cookie 安全但 Session ID 被窃取依然会导致盗号问题。实际应用中可以通过以下措施增强安全性设置 Cookie 属性添加HttpOnly防止 XSS 攻击添加Secure仅在 HTTPS 下传输Session 过期机制设置合理的 Session 过期时间定期清理过期会话异地登录检测检测到 IP 地址变化时强制用户重新登录绑定设备信息将 Session ID 与用户的设备信息如 User-Agent绑定使用 HTTPS全程加密传输防止 Session ID 在网络传输中被截获6.3 进阶方向分布式 Session 共享在集群环境下使用 Redis 实现多服务器之间的 Session 共享JWTJSON Web Token无状态的身份认证方案不需要服务端存储 SessionOAuth 2.0第三方授权协议广泛应用于微信、QQ 等第三方登录结尾
