0. 引子,我們為什麼要cookie和session
因為http請求是無狀態的(不能記錄用戶的登錄狀態等),所以需要某種機制來保存用戶的登錄狀態等信息,在下次訪問web服務的時候,不用再次校驗是否登錄等狀態,session機制和cookie機制分別是在服務器端和浏覽器端的解決方案。
1.關於cookie
1.1 什麼是cookie
cookie,原意餅干。用來在浏覽器端存儲用戶的狀態信息,然後在訪問後端的時候將這部分信息帶回到後端。
cookie的內容主要包括:名字,值,過期時間,路徑和域
1.2 cookie的分類
會話cookie 不設置過期時間的cookie 保存在浏覽器的內存中,關閉浏覽器,cookie便被銷毀。(常常被用作session)
普通cookie 設置了過期時間 保存在硬盤上
1.3怎麼應用
發起請求時:浏覽器檢查所有存儲的cookie,如果某個cookie所聲明的作用范圍(由路徑和域決定)大於等於將要請求的資源所在的位置,則把該cookie附在請求資源的HTTP請求頭上發送給服務器。
處理請求時:在服務器端, 一般會對請求頭中帶的cookie信息做檢查(比如說登錄檢查),如果檢查通過,才能進行實際的業務處理。
如果校驗不通過,例如沒有找到cookie或者cookie信息不正確(可能是偽造),跳轉讓其登錄,然後登錄完成之後,在響應中返回cookie信息,浏覽器會根據返回的cookie信息,保存在硬盤或者內存中供下次使用。、
2.關於session
2.1什麼是session
session 用來在服務器端保存用戶的狀態信息。
2.2怎麼使用
浏覽器發起請求時:服務器首先會讀取請求頭中session信息。如果沒有找到session信息或者本地檢索不到此sessionid,如果沒有就新生成一個sessionid,存儲到服務器硬盤或者memcache中。
浏覽器接收到響應:會將這個返回的sessionID在本地內存也保存一份,供下一次請求使用。session保存在本地的其中一種實現方案是保存信息在cookie上,但是實際上cookie並不是session保存唯一解決方案,使用url重寫的方式也可(把session id直接附加在URL路徑的後面 )。
3.cookie和sessiond的主要區別
1、保存位置稍有區別
cookie數據存放在客戶的浏覽器上,服務器端不用保存。session數據放在服務器上,本地內存也有一份。
2、安全性不同
cookie安全性不如session。因為普通cookie保存在本地硬盤上,黑客可以偽造url等方式發起xss攻擊,獲取本地硬盤保存狀態的cookie,進而竊取用戶的敏感信息。
session則不同,只有在用戶登錄此網站時發起xss攻擊才能獲取session信息,關閉浏覽器之後,session即被銷毀,安全性較cookie要好
3.跨域支持上的不同
Cookie支持跨域名訪問,例如將domain屬性設置為“.biaodianfu.com”,則以“.biaodianfu.com”為後綴的一切域名均能夠訪問該Cookie。跨域名Cookie如今被普遍用在網絡中,例如Google、Baidu、Sina等。而Session則不會支持跨域名訪問。Session僅在他所在的域名內有效。
4.服務器壓力的不同
Session是保管在服務器端的,每個用戶都會產生一個Session。假如並發訪問的用戶十分多,會產生十分多的Session,耗費大量的內存。因而像Google、Baidu、Sina這樣並發訪問量極高的網站,是不太可能運用Session來追蹤客戶會話的。考慮到減輕服務器性能方面,應當使用COOKIE。
5. 存取方式的不同
Cookie中只能保管ASCII字符串,假如需求存取Unicode字符或者二進制數據,需求先進行編碼。Cookie中也不能直接存取Java對象。若要存儲略微復雜的信息,運用Cookie是比擬艱難的。
而Session中能夠存取任何類型的數據,包括而不限於String、Integer、List、Map等。Session中也能夠直接保管Java Bean乃至任何Java類,對象等,運用起來十分便當。能夠把Session看做是一個Java容器類。
6.cookie的保存內容大小有限制
單個cookie保存的數據不能超過4K,很多浏覽器都限制一個站點最多保存20個cookie。
以上這篇關於session和cookie的簡單理解就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持。