Estoy comenzando a aprender el desarrollo de aplicaciones web, usando Python. Me encuentro con los términos 'cookies' y 'sesiones'. Entiendo las cookies porque almacenan información en un par de valores clave en el navegador. Pero tengo un poco de confusión con respecto a las sesiones, en una sesión también almacenamos datos en una cookie en el navegador del usuario.

Por ejemplo: inicio sesión con username='rasmus'y password='default'. En tal caso, los datos se publicarán en el servidor que se supone que debe verificar e iniciar sesión si está autenticado. Sin embargo, durante todo el proceso, el servidor también genera una ID de sesión que se almacenará en una cookie en mi navegador. Ahora el servidor también almacena esta ID de sesión en su sistema de archivos o almacén de datos.

Pero basándome solo en la ID de sesión, ¿cómo podría saber mi nombre de usuario durante mi recorrido posterior por el sitio? ¿Almacena los datos en el servidor como un dict donde la clave sería una ID de sesión y detalles como username, emailetc. serían los valores?

Me estoy confundiendo bastante aquí. Necesitas ayuda.

Debido a que HTTP no tiene estado, para asociar una solicitud a cualquier otra solicitud, necesita una forma de almacenar datos de usuario entre solicitudes HTTP.

Las cookies o los parámetros de URL (por ejemplo, http://example.com/myPage?asd=lol&boo=no ) son formas adecuadas de transportar datos entre 2 o más solicitudes. Sin embargo, no son buenos en caso de que no desee que los datos sean legibles / editables en el lado del cliente.

La solución es almacenar ese lado del servidor de datos, asignarle un "id" y dejar que el cliente solo sepa (y devuelva en cada solicitud http) ese id. Ahí tienes, sesiones implementadas. O puede usar el cliente como un almacenamiento remoto conveniente, pero cifraría los datos y mantendría el lado secreto del servidor.

Por supuesto, hay otros aspectos a tener en cuenta, como si no quieres que las personas secuestren las sesiones de otros, quieres que las sesiones no duren para siempre sino que expiren, y así sucesivamente.

En su ejemplo específico, la identificación de usuario (podría ser nombre de usuario u otra identificación única en su base de datos de usuarios) se almacena en los datos de la sesión, del lado del servidor, después de una identificación exitosa. Luego, por cada solicitud HTTP que reciba del cliente, la identificación de la sesión (dada por el cliente) le indicará los datos de sesión correctos (almacenados por el servidor) que contienen la identificación de usuario autenticada, de esa manera su código sabrá a qué usuario está hablando con

Explicación simple por analogía

Imagina que estás en un banco, tratando de sacar algo de dinero de tu cuenta. Pero está oscuro; el banco está completamente negro: no hay luz y no puedes ver tu mano frente a tu cara. Estás rodeado de otras 20 personas. Todos ellos parecen iguales. Y todos tienen la misma voz. Y todos son potenciales malos. En otras palabras, HTTP no tiene estado.

Este banco es un tipo de banco divertido, por el simple argumento de cómo funcionan las cosas:

1. espera en línea (o en línea) y habla con el cajero: hace una solicitud para retirar dinero, y luego
2. tienes que esperar un momento en el sofá y 20 minutos después
3. tienes que ir y recoger tu dinero del cajero.

Pero, ¿cómo te distinguirá el cajero de los demás?

El cajero no puede verlo o reconocerlo fácilmente, recuerde, porque las luces están apagadas. ¿Qué pasa si su cajero le da su retiro de $ 10,000 a otra persona, la persona equivocada? Es absolutamente vital que el cajero pueda reconocerlo como el que realizó el retiro, para que pueda obtener el dinero (o recurso) que solicitó.

Solución:

Cuando te apareces por primera vez al cajero, él o ella te dice algo en secreto:

"Cuando me hables", dice el cajero, "primero debes identificarte como GNASHEU329, de esa manera sé que eres tú".

Nadie más conoce la contraseña secreta.

Ejemplo de cómo retiré efectivo:

Así que decido ir y relajarme durante 20 minutos y luego ir al cajero y decir "Me gustaría cobrar mi retiro"

El cajero me pregunta: "¿quién eres?"

"¡Soy yo, señor George Banks!"

"¡Pruébalo!"

Y luego les digo mi contraseña: GNASHEU329

"¡Ciertamente, señor Banks!"

Así es básicamente cómo funciona una sesión. Permite que uno se identifique de forma única en un mar de millones de personas. Debe identificarse cada vez que trata con el cajero.

Si tiene alguna pregunta o no está claro, publique un comentario e intentaré aclararlo.

Explicación a través de imágenes:

"Sesión" es el término utilizado para referirse al tiempo que un usuario navega por un sitio web. Está destinado a representar el tiempo desde su primera llegada a una página en el sitio hasta el momento en que dejan de usar el sitio. En la práctica, es imposible saber cuándo el usuario ha terminado con el sitio. En la mayoría de los servidores hay un tiempo de espera que finaliza automáticamente una sesión a menos que el mismo usuario solicite otra página.

Se crea la primera vez que un usuario conecta algún tipo de ID de sesión (la forma en que se realiza depende del software del servidor web y del tipo de autenticación / inicio de sesión que esté utilizando en el sitio). Al igual que las cookies, esto generalmente ya no se envía en la URL porque es un problema de seguridad. En cambio, se almacena junto con un montón de otras cosas que colectivamente también se conoce como la sesión. Las variables de sesión son como cookies: son pares de nombre-valor enviados junto con una solicitud de una página y devueltos con la página desde el servidor, pero sus nombres se definen en un estándar web.

Algunas variables de sesión se pasan como encabezados HTTP . Se pasan de un lado a otro detrás de las escenas de cada búsqueda de páginas para que no aparezcan en el navegador y le digan a todos algo que puede ser privado. Entre ellos se encuentran USER_AGENT, o el tipo de navegador que solicita la página, el REFERENTE o la página que está vinculada a la página que se solicita, etc. Algunos software de servidor web agregan sus propios encabezados o transfieren datos de sesión adicionales específicos al software del servidor. Pero los estándares están bastante bien documentados.

Espero que ayude.

HTTP es un protocolo de conexión sin estado, es decir, el servidor no puede diferenciar entre diferentes conexiones de diferentes usuarios.

De ahí viene la cookie, una vez que un cliente se conecta por primera vez a un servidor, el servidor genera una nueva identificación de sesión, que luego se enviará al cliente como valor de cookie. Y a partir de ahora, esta identificación de sesión identificará esa conexión de cliente, porque dentro de cada solicitud HTTP verá la identificación de sesión adecuada dentro de las cookies.

Ahora, para cada ID de sesión, el servidor mantiene cierta estructura de datos, lo que le permite almacenar datos específicos para el usuario, a esta estructura de datos se puede llamar sesión de forma abstracta.

Piense en HTTP como una persona (A) que tiene PÉRDIDA DE MEMORIA A CORTO PLAZO y olvida a cada persona tan pronto como esa persona se pierde de vista.

Ahora, para recordar a diferentes personas, A toma una foto de esa persona y la guarda. La foto de cada persona tiene un número de identificación. Cuando esa persona vuelve a estar a la vista, le dice su número de identificación a A y A encuentra su foto por número de identificación. Y voila !!, A sabe quién es esa persona.

Lo mismo es con HTTP. Está sufriendo PÉRDIDA DE MEMORIA A CORTO PLAZO. Utiliza Sesiones para registrar todo lo que hiciste mientras usabas un sitio web, y luego, cuando vuelves, te identifica con la ayuda de Cookies (Cookie es como un token). La imagen es la sesión aquí, y la identificación es la cookie aquí.