Überblick. Netzprogrammierung 7b. Zustand in Web Anwendungen. Zustand in HTTP HTTP ist zustandslos Zwei Interaktionen sind unabhängig voneinander

Transkript

1 Überblick 1. Zustand in Web Anwendungen Netzprogrammierung 7b. Zustand in Web Anwendungen Prof. Dr.-Ing. Robert Tolksdorf Freie Universität Berlin Institut für Informatik Netzbasierte Informationssysteme mailto: [1] Robert Tolksdorf, Berlin [2] Robert Tolksdorf, Berlin HTTP ist zustandslos Zwei Interaktionen sind unabhängig voneinander Zustand in Web Anwendungen Zustand aber oft benötigt Transaktionen auf Datensatz beim erver (z.b. Warenkorb) [3] Robert Tolksdorf, Berlin Unterscheidung von Klienten zur Personalisierung Authentifizierung... C2 C2 [4] Robert Tolksdorf, Berlin

2 essions Einführung von itzungen (essions) itzung: Folge von Interaktionen, die einen gemeinsamen Zustand haben Identifikation in der Interaktion durch eindeutige itzungsnummer (ession-id) Ermittlung des Zustand auf Basis der ession-id 1,1 1,2 1,1 C2 2,1 1,2 C2 2,2 Z1 Z1 Z2 [5] Robert Tolksdorf, Berlin Client aus HTTP- und ocket-informationen eindeutig identifizieren? ession-id= (Browsername x User x Betriebssystem x IP-Adresse) Nicht eindeutig, weil: Informationen bis auf IP-Adresse nicht immer vorhanden IP-Adresse nicht eindeutig Mehrere Nutzer auf einem Rechner Proxy/Firewall/NAT Problematik: Keine individuellen IP- Adressen nach aussen Mehrere Browser-essions des gleichen Nutzers => ession-id muss in der Interaktion immer zwischen Klient und erver ausgetauscht werden [6] Robert Tolksdorf, Berlin Woher ession IDs nehmen? 1. Versteckte Formularfelder enthalten ession-id Formularfelder in HTML: <input type=typ name="name" > z.b.: <input type="text" name="plz"> Texteingabe <input type="password" name="pw">passwordeingabe Weitere Auswahlen und Textfelder <input type="hidden" name="essionid" value="977e5d8ae8500c456ab1fca6cbaa12af"> Bei ubmit wird ein Query-tring Beispiel: tring sessionid= org.apache.axis.utils.essionutils.generateessionid(); java -cp axis.jar;commons-logging.jar; commons-discovery.jar;. essionid 43B04BB7719E14A105FCDB20F0CBD2 PLZ=14195&pw=geheim&essionID=977e5d8ae8500c456ab1fca6cbaa12af erzeugt und an den erver übermittelt erver wertet ession-id aus und baut sie in Formulare auf Ergebnisseite ein [7] Robert Tolksdorf, Berlin Andere Bibliotheken natürlich auch nutzbar [8] Robert Tolksdorf, Berlin

3 URLs 2: ession-id in URLs in Verweisen (URL Rewriting) Einstieg per HTTP auf URL mit schon kodierter ession-id geleitet: /301128/ref=cs_nav_tab_1/ browse/-/299956/ ref=cs_nav_tab_3/ ession-id kann unterschiedlich kodiert werden Abbildung von Pfad auf Informationen ist erver-ache Im Pfad: /301128/ref=cs_nav_tab_1/ Im Query-tring: PEID=8823f90c85597aedc87100cd91a4c7fd&FINANZING= Vorteil: Zustand kann auch ausserhalb von Formulareingaben gehalten werden Portabel Nachteile: international-gateway/ref=cs_nav_sn_1_new/ [9] Robert Tolksdorf, Berlin Alle Verweise müssen entsprechend markiert werden Alte ession-id kann in Bookmark sein Gültige ession-id kann einfach an andere Nutzer gelangen [10] Robert Tolksdorf, Berlin 3. Cookie Mechanismus zum peicher der ession-id erver schickt et-cookie Header in HTTP et-cookie: Name=Wert; expires=datum; path=pfad; domain=internet-domäne; secure Wenn der Klient will, speichert er den Cookie Beispiele: Cookie ist kleiner Datensatz, der bei Klienten gespeichert ist erver kann ihn setzen Klient schickt ihn bei jeder weiteren Interaktion mit Implementiert mit zusätzlichen HTTP-Headern [11] Robert Tolksdorf, Berlin et-cookie: JEIONID=a3nwR5on0lhe; path=/ et-cookie: WEBTREND_ID= ; path=/ et-cookie: obidos_path_continue-shopping=continue-shoppingurl=/tg/browse/-/301128%3fsite-redirect%3dde&continue-shoppingpost-data=&continue-shopping-description=browse.gateway ; path=/; domain=.amazon.de [12] Robert Tolksdorf, Berlin

4 Cookie-Felder Cookie-Felder Name=Wert; Zeichenkette ohne Leerzeichen, emikolon, Komma -> Ähnlich Query tring kodieren domain=ip-domäne Der Klient soll den Cookie bei einem GET an Rechner mitschicken, zu denen die IP-Domäne passt mindestens drei Punkte erforderlich bei Toplevel-Domänen (com, edu, net, org, gov, mil, ) nur zwei path=pfad; Der Klient soll den Cookie bei einem GET an Rechner mitschicken, zu denen die IP-Domäne und der Pfad darin passt / für alle eiten /foo für /foobar aber auch für /foo/bar.html [13] Robert Tolksdorf, Berlin expires=datum Altersgrenze ab der der Cookie nicht mehr gespeichert oder herausgegeben werden soll Datum: based on RFC 822, RFC 850, RFC 1036, and RFC 1123, with the variations that the only legal time zone is GMT and the separators between the elements of the date must be dashes. Fehlt expires verfällt der Cookie am Ende der Nutzung des Klienten Ist das Datum in der Vergangenheit soll der Klient den Cookie löschen secure Cookie nur an erver schicken, wenn dieser mit L (also https-protokoll) kontaktiert wird [14] Robert Tolksdorf, Berlin Wenn bei einer Anfrage nach einer URL der Klient will, die Domäne zur URL passt, der Pfad zur URL passt, bei mit secure markierten https benutzt wird der Cookie nicht veraltet ist schickt der Klient das Name-Wert-Paar als Header mit Vorteile: Einfacher Mechanismus ohne Inhaltsänderung eiten müssen nicht generiert werden sind (wahrscheinlich) persistent über Klientennutzungen Nachteile: chlechtes Image von Cookie: Name 1 =Wert 1 ; Name 2 =Wert 2 ; für fremde Domains Datenschutzaspekt / Nutzerprofile erver kann mehrere senden (mehrere et-cookie Header) Klient kann mehrere antworten (mehrere pro Header oder mehrere Header) [15] Robert Tolksdorf, Berlin Klientenverhalten heute frei konfigurierbar [16] Robert Tolksdorf, Berlin

5 Zusammenfassung 1. Zustand in Web Anwendungen 1. Versteckte Formularfelder 2. URL Rewriting 3. Zusammenfassung [19] Robert Tolksdorf, Berlin [17] Robert Tolksdorf, Berlin [18] Robert Tolksdorf, Berlin Literatur Netscape Inc. PERITENT CLIENT TATE HTTP COOKIE. wp.netscape.com/newsref/std/cookie_spec.html