[閒聊] 2017.W11 - Cookie vs Session

作者: CMJ0121 (請多指教!!)   2017-03-14 23:47:17
2017.W11 - Cookie vs Session
> 就算今天是抱抱星期二 我還是要稱今天是 Pi-Day
## 前言 ##
雖然是老梗 但是還是替大家複習一下 Cookie 跟 Session 的差別
不然下次搞混真的會讓人無言
## 內容 ##
在提到 Cookie 與 Session 之前 需要先了解一下 HTTP 的架構
HTTP[0] 是一種廣泛使用的網路協定 (如果你透過網頁瀏覽 PTT 那就是在使用 HTTP)
目前最廣泛使用的是用 RFC 2616[1] 的 HTTP/1.1
已經完成的 RFC 7540 (HTTP/2) 則有機會成為新的標準
在 HTTP 的世界當中 請求本身是無狀態的 (stateless)
這表示任意兩個請求之間 本身是沒有關聯 (儲存狀態)
但現在的網路使用中 (排除匿名瀏覽) 網站都可以記錄你上次的
1. 瀏覽紀錄
2. 搜尋結果
3. 登入帳號
4. ...
這就跟 HTTP 的無狀態特性相違背 (?) 而 Cookie 就是處理這個需求的產物
Cookie 是定義在 RFC 2109 的一個實作
本身儲存一個特殊的字串 (有大小限制) 在瀏覽網頁的時候一併送給網頁伺服器
而伺服器會根據當初設計的邏輯做特定的處理 像是
ptt.cc 就會利用 over18 來記錄是否點擊過已滿 18 歲的紀錄
在引入 Cookie 的概念後 HTTP 就有了狀態的特性
但是明眼人一看就會發現問題:這個 Cookie 似乎隨便帶入都可以
假如有一個神奇的程式設計師 (我稱之為 JW) 他設計了一個邏輯
1. 如果請求中沒有 age 則跳出輸入年齡的視窗
2. 如果請求中有 age 這個 Cookie 則顯示 age 的內容
Cookie 本身因為是使用者可控的內容 所以伺服器永遠無法保證這個內容的合法性
這裡的合法性包含了正確性與內容不被修改
所以如果把帳號/密碼資訊 放到 Cookie 當中就是一個 十分好的巧思
另一方面 Session[2] 則是一個 (相對) 用來保證安全的 Cookie
在實務上 Session 跟 Cookie 一樣都放在請求當中
內容當然也可以被使用者控制、修改、竊取
然而 Session 本身在伺服器當中還會做額外的驗證
這裡的驗證可以包涵:來源 IP (REMOTE_ADDRESS)、User Agent [3] 等
而 session 本身並不太帶有任何的敏感資訊 (像是帳號內容 如果沒有額外的巧思...)
相反的 Session 一個跟伺服器端的資料的對應關係
可以想像成:
伺服器已經知道帳號 S 登入了 並且對應到一個 Session ID 是 5538
當只有 IP 位址從 1.2.3.4 的請求 才會做 1-1 的對應
其他的則當作是無效 Session
## 同場加映 ##
有興趣的人 也可以複習一下 Encoding、HASH、Encryption 之間的差異
在工作的時候 真的會有神奇的工程師混用這三者...
[0]: https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol
[1]: https://tools.ietf.org/html/rfc2616
[2]: https://en.wikipedia.org/wiki/Session_(computer_science)
[3]: https://en.wikipedia.org/wiki/User_agent
作者: supermario85 (mario大叔)   2017-03-15 07:43:00
感謝分享,謝謝
作者: tiefblau (tiefblau)   2017-03-16 10:59:00
順帶一提 會有過期機制~
作者: qqdn ( )   2017-03-18 07:00:00
感謝分享
作者: johnkk6j   2017-03-21 16:20:00
希望下次可以分享一些無線網路的安全機制~~感謝大大~
作者: CMJ0121 (請多指教!!)   2017-03-21 22:24:00
樓上的意見我收到了... 給我點時間學學不然就要看板上出沒的大大分享一下心得了

Links booklink

Contact Us: admin [ a t ] ucptt.com