HTTP 作为一种协议是无状态的。RFC 2965 定义了 HTTP 的状态机制(cookie),但还有 HTTP 会话的概念。Cookie 用于跟踪用户会话(使用会话 ID),但会话变量的实际内容存储在服务器上。JSP、ASP 和 PHP 等语言包含用于维护 HTTP 会话的会话机制。
我想知道,是否有一个 RFC 或标准定义应如何实现 HTTP 会话?毕竟,JSP、ASP 和 PHP 都以几乎相同的方式实现 HTTP 会话。
答案1
最初的 Cookie RFC 是 2109,后来被 2965 取代,而后者又被 RFC6265 取代。RFC6265 讨论了会话和会话标识符。
答案2
你可能还想看看https://www.rfc-editor.org/rfc/rfc6896它比 RFC6265 的“服务器应该加密并签名 cookie 的内容(使用服务器所需的任何格式)”提供了更详细的信息
关于使用 cookies 进行安全会话的更多信息: http://www2.imm.dtu.dk/pubdb/views/edoc_download.php/6062/pdf/imm6062.pdf http://nordsecmob.aalto.fi/en/publications/theses_2011/thesis_nazmul.pdf http://www.cl.cam.ac.uk/~sjm217/papers/protocols08cookies.pdf