使用 Cookie 实现公有云会话跟踪

问题描述

软件即服务 (Software as a Service) 公有云平台运营商提供各种各样的服务,用户可以根据自己的需要选择相应的服务。当用户需要某一种服务时,需要登陆服务提供商的网站,创建这一服务的一个实例(instance)来作为服务实体。与此同时,服务提供商会为这个实例创建一个凭证(credential)作为其他 SDK 方式连接的凭证。同一用户可以拥有多个实例来作为不同服务的实体。用户登录以后,客户端存储了服务器端生成的特定 Cookie 做为身份认证。网站认证大多采用单点登录(Single Sign On,简称 SSO)技术,而特定的网站存储在同一浏览器的身份 Cookie 只有一份。如果同一用户在同一个浏览器的多个 Tab 下操作不同的实例,那么服务器端无法区分请求的主体是哪一个实例,从而导致两个实例的操作在服务器端混为一起。

解决思路

由于 Cookie 在同一浏览器中是共享的,所以服务器端无法通过 Cookie 区分不同 Tab 中的会话。而且,前端页面无法用脚本的方式获取浏览器 Tab 标识。因此,要跟踪 Tab 级别会话,就需要一个能在 Tab 级别跟踪会话的令牌(Token)保存于 Cookie 中。

Cookie 在客户端以键值对(Key-Value)的形式来存储,一个 Cookie 就是一对 Key-Value。通常经过身份验证之后,Web 网站为会话生成一个固定 Key 的 Cookie,并存储在客户端。客户端在发起新的请求时将此 Cookie 一并传送给服务器端用于身份识别。

为了彻底的分离多 Tab 下的会话,在服务器端生成会话的时候,可以为每一个浏览器 Tab 生成一个不同 Key 的 Cookie,并将此 Key 记录在返回的 HTML 页面中。HTML 页面是 Tab 隔离的。此客户端向服务器发起新的请求时,客户端将预存在 HTML 中的 Key 传给服务器端。服务器端获取到客户端传递的 Key 值之后,就可以获取到对应的身份 Cookie。

本文将综合多种会话跟踪技术解决不同 Tab 之间跟踪不同会话的问题。

会话跟踪技术

会话跟踪是 Web 应用的基础技术之一。目前主流的会话跟踪技术有以下四种:

  1. URL 重写:URL 是互联网统一资源定位符。URL 重写的技术是将一段附加数据添加到 URL 的路径上。通常附加数据包含会话 ID。会话 ID 是服务器端存储特定会话对象的标识。
  2. 隐藏表单****域:将会话的 ID 存储在表单的隐藏元素中。用户提交表单时,会话的 ID 一起被提交到服务器端。
  3. Cookie:Cookie 是以键值对的结构存储在浏览器端的一段文本信息。服务器端可以将特定的信息,例如会话 ID,包含在用户请求的响应中返回给浏览器端。在新的请求中,浏览器会自动携带存储的 Cookie 提交到服务器端。
  4. Session:HTTP 协议是无状态的,同一系统的不同资源只允许有对应权限的用户访问。用户登录之后,客户端和服务器端需要维持会话。通常服务器端会提供会话管理的机制,将不同客户的身份信息存储在不同的区域。浏览器向服务器发起请求时,需要提供会话 ID,这样服务器端就可以获取到对应客户端的身份,返回请求的资源。

在本问题的解决方案中同时使用了以上四种技术。

实现过程

目前浏览器无法提供区分 Tab 的方法,即无法使用浏览器端接口获取到 Tab 的标识。Web 网站使用 SSO 的技术,服务器在认证用户的身份之后,通常会给客户端返回一个固定 Key 值、用于身份识别的 Cookie (此处涉及到会话跟踪技术三)。在此浏览器后续的请求中,客户端(浏览器)会将此 Cookie 提供给服务器端用于身份识别,如图 1 所示。由此可见,无论是客户端还是服务器端都未曾考虑同一账户多 Tab 下的不同会话的跟踪问题。

图 1. 固定 Cookie Key 认证过程
image

解决这个问题首先需要使用不同的 Key 作为身份标识提供给客户端。过去 SSO 产生的 Token 存储在客户端类似于这样的格式 AUTH=xyz。其中 AUTH 是 Key,xyz 是 Value。由于这是身份认证的信息,Value 一般是加密存储的,防止恶意盗取会话信息。

为了识别不同 Tab 下的会话,新的 Token 存储的方式需要不同的 Key,例如:AUTH-456784567345=xyzAUTH 是这个身份认证 Cookie 标识的前缀,而数字串 456784567345 则是服务器端随机生成的一个 Long 型数字作为后缀,用来区分 Tab 身份。

如果用户在三个 Tab 下对同一个网站登录了不同的身份,那么会出现三个 Token,而过去只有一个。那么在任何一个 Tab 下操作,请求发送到服务器端的时候,客户端都会将此三个 Token 带到请求里,服务器需要知道到底哪一个 Key 才是当前 Tab 的身份信息,如图 2 所示:

图 2. 可变后缀 Cookie Key 的认证过程
image

因此,客户端需求在发送请求的时候告诉服务器端身份标识的后缀。完成登录认证的时候,服务器端返回给客户端主页面的时候,服务器端可以将此后缀隐藏在某个子页面中(HTML 代码是 Tab 隔离的,此处涉及到会话跟踪技术二)。代码如:<input type="hiden" name="auth-suffix" id="suffix" value="" />。此子页面一直存在于会话登录中,例如网页的导航栏。大多数的客户端请求有两种,一种是 GET 请求,一类是 POST 请求:

  • 对于 GET 请求,需要客户端脚本将请求的 URL 后添加后缀的参数(此处涉及到会话跟踪技术一),例如:https://www.hostname.com/app?suffix=456784567345
  • 对于 POST 请求,可以将后缀放在 POST 请求的 Parameter 参数里。JQuery 代码:params={"suffix": "456784567345"}; $.ajax({type:"POST", url:https://hostname/url, data:params, datatype:"json", success:()=>{}});

如此一来,服务器端就可以获取浏览器某个 Tab 的后缀,近而取得相应的 Cookie 来获取这一 Tab 的身份信息了。

为了提高安全性,此实现方式还需要服务器端实现会话管理(此处涉及到会话跟踪技术四)。

如果会话管理服务器只有一个节点,可以使用简单的 Map 进行管理。Map 的 Key 是 Session ID,Map 的 Value 是 Session 对象。首先,服务器端从浏览器端提交的请求中获取 Cookie 的后缀参数值,进而得到 Cookie 的 Key (固定前缀+后缀)。由于 Cookie 的存储结构也是 Map,服务器端即可获取到对应 Cookie 的 Value。解密之后,得到 Cookie 中存储的服务器端 Session ID。服务器端通过 Session ID 获取到 Session 对象,得到存储在 Session 对象中的用户信息。

如果会话管理服务器是集群的组织结构,那么可以采用支持集群的 Redis 等框架实现服务器会话管理服务。如果读者对 Redis 技术有兴趣,可自行查阅相关文章资料,本文不再详述。

总结

大部分的网站并没有支持 Tab 级会话跟踪。然而这一技术在公有云的普及下,变得越来越重要。虽然用户可以通过启动多浏览器的进程来规避此问题,但是多浏览器的操作也会给用户带来需要切换浏览器和耗费更多的计算机资源的弊端。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,293评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,604评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,958评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,729评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,719评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,630评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,000评论 3 397
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,665评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,909评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,646评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,726评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,400评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,986评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,959评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,996评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,481评论 2 342

推荐阅读更多精彩内容

  • 1. cookie 1.1 什么是cookie cookie 是存储于访问者的计算机中的变量。每当同一台计算机通过...
    cbw100阅读 4,051评论 0 13
  • 作者:晚晴幽草轩www.jeffjade.com/2016/10/31/115-summary-of-cookie...
    饥人谷_Dylan阅读 1,222评论 0 51
  • 背景在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookie,cooki...
    时芥蓝阅读 2,354评论 1 17
  • 乡间的夜,原本深邃而宁静,确因知了的存在,而多了一份繁华。 睡梦中被清脆的叫声吵醒,而后思绪万千,...
    懒散的小七阅读 289评论 0 1
  • 今天,是我在这里工作的最后一天。 好好珍惜,和孩子们一起快乐的时光。 今早起床还是很晚,本来闹钟已经将我闹醒,竟然...
    竹子在心阅读 186评论 0 2