单点登录原理和简单实现

一 博客地址

点击打开链接

既然http协议无状态，那就让服务器和浏览器共同维护一个状态吧。这就是会话机制。

二 会话机制（session机制）

浏览器第一次请求服务器，服务器创建一个会话（session对象），并将会话的id作为响应的一部分发送给浏览器，浏览器存储会话id，并在后续的第二次，第三次请求中带上会话id,服务器取得请求中的会话id就知道是不是同一个用户了。

• 服务器在内存中保存session对象，浏览器怎么保存会话id呢？
• 让浏览器自己来维护这个会话id吧。每次发送http请求时浏览器自动发送会话id，cookie机制正好用来做这件事。
• cookie是浏览器用来存储少量数据的一种机制，数据以“key/value”形式存储，浏览器发送http请求时自动附带cookie信息。
• 服务器拿到会话id，找到session对象，服务器内部的session对象记录下用户的操作和已登录用户的私密数据的url
  

三 登录状态

• 假设浏览器第一次请求服务器需要输入用户名和密码验明身份
• 服务器拿到用户名和密码去数据库比对，正确的话说明当前持有这个会话的用户是合法用户，应该将这个会话标记为“已授权”或者“已登录”等等之类的状态
• 既然是会话的状态，自然要保存到会话对象中，tomcat在会话对象中设置登录状态如下：

• HttpSession session = request.getSession();session.setAttribute("isLogin",true);

  
  
• 用户再次访问时，tomcat在会话对象中查看登录状态

• HttpSession session = request.getSession();session.getAttribute("isLogin");

  
  

登录状态总结

•  向服务器发送http请求，服务器在内存里创建session对象，并以会话id标识
• 如果登录验证通过，服务器里的session对象的“isLogin”属性标记为true

四 理解android登录逻辑，了解以上知识就过关了

• session是服务器里的对象，用来唯一的标识用户，关联用户的所用信息：包括存放在服务器里资源；用户的操作。
  
• cookie存放在客户端，用来保存服务器中session对象的会话id，以及其他的一些属性信息：有效期等
• session和cookie要结合使用

五 我自己的一些想法

• http保持会话状态也可以只采用cookie机制
• 客户端第一次访问服务器，服务器不创建session对象，而是创建一个cookie对象，在服务器里对这个cookie对设置各种属性，然后服务器返回cookie对象到客户端，这时服务器内部销毁cookie对象即可
• 客户端把cookie对象存储，每次请求的时候带上cookie信息，服务器解析cookie，维持“长连接”
• 优点 ： 节约了服务器的运行内存
• 缺点 ： 安全性差