0. 引子,我們為什麼要cookie和session 因為http請求是無狀態的(不能記錄用戶的登錄狀態等),所以需要某種機制來保存用戶的登錄狀態等信息,在下次訪問web服務的時候,不用再次校驗是否登錄等狀態,session機制和cookie機制分別是在伺服器端和瀏覽器端的解決方案。 1.關於coo ...
0. 引子,我們為什麼要cookie和session 因為http請求是無狀態的(不能記錄用戶的登錄狀態等),所以需要某種機制來保存用戶的登錄狀態等信息,在下次訪問web服務的時候,不用再次校驗是否登錄等狀態,session機制和cookie機制分別是在伺服器端和瀏覽器端的解決方案。 1.關於cookie 1.1 什麼是cookie cookie,原意餅干。用來在瀏覽器端存儲用戶的狀態信息,然後在訪問後端的時候將這部分信息帶回到後端。 cookie的內容主要包括:名字,值,過期時間,路徑和域 1.2 cookie的分類 會話cookie 不設置過期時間的cookie 保存在瀏覽器的記憶體中,關閉瀏覽器,cookie便被銷毀。(常常被用作session) 普通cookie 設置了過期時間 保存在硬碟上 1.3怎麼應用 發起請求時:瀏覽器檢查所有存儲的cookie,如果某個cookie所聲明的作用範圍(由路徑和域決定)大於等於將要請求的資源所在的位置,則把該cookie附在請求資源的HTTP請求頭上發送給伺服器。 處理請求時:在伺服器端, 一般會對請求頭中帶的cookie信息做檢查(比如說登錄檢查),如果檢查通過,才能進行實際的業務處理。 如果校驗不通過,例如沒有找到cookie或者cookie信息不正確(可能是偽造),跳轉讓其登錄,然後登錄完成之後,在響應中返回cookie信息,瀏覽器會根據返回的cookie信息,保存在硬碟或者記憶體中供下次使用。、 2.關於session 2.1什麼是session session 用來在伺服器端保存用戶的狀態信息。 2.2怎麼使用 瀏覽器發起請求時:伺服器首先會讀取請求頭中session信息。如果沒有找到session信息或者本地檢索不到此sessionid,如果沒有就新生成一個sessionid,存儲到伺服器硬碟或者memcache中。 瀏覽器接收到響應:會將這個返回的sessionID在本地記憶體也保存一份,供下一次請求使用。session保存在本地的其中一種實現方案是保存信息在cookie上,但是實際上cookie並不是session保存唯一解決方案,使用url重寫的方式也可(把session id直接附加在URL路徑的後面 )。 3.cookie和sessiond的主要區別 1、保存位置稍有區別 cookie數據存放在客戶的瀏覽器上,伺服器端不用保存。session數據放在伺服器上,本地記憶體也有一份。 2、安全性不同 cookie安全性不如session。因為普通cookie保存在本地硬碟上,黑客可以偽造url等方式發起xss攻擊,獲取本地硬碟保存狀態的cookie,進而竊取用戶的敏感信息。 session則不同,只有在用戶登錄此網站時發起xss攻擊才能獲取session信息,關閉瀏覽器之後,session即被銷毀,安全性較cookie要好 3.跨域支持上的不同 Cookie支持跨功能變數名稱訪問,例如將domain屬性設置為“.biaodianfu.com”,則以“.biaodianfu.com”為尾碼的一切功能變數名稱均能夠訪問該Cookie。跨功能變數名稱Cookie如今被普遍用在網路中,例如Google、Baidu、Sina等。而Session則不會支持跨功能變數名稱訪問。Session僅在他所在的功能變數名稱內有效。 4.伺服器壓力的不同 Session是保管在伺服器端的,每個用戶都會產生一個Session。假如併發訪問的用戶十分多,會產生十分多的Session,耗費大量的記憶體。因而像Google、Baidu、Sina這樣併發訪問量極高的網站,是不太可能運用Session來追蹤客戶會話的。考慮到減輕伺服器性能方面,應當使用COOKIE。 5. 存取方式的不同 Cookie中只能保管ASCII字元串,假如需求存取Unicode字元或者二進位數據,需求先進行編碼。Cookie中也不能直接存取Java對象。若要存儲略微複雜的信息,運用Cookie是比擬艱難的。 而Session中能夠存取任何類型的數據,包括而不限於String、Integer、List、Map等。Session中也能夠直接保管Java Bean乃至任何Java類,對象等,運用起來十分便當。能夠把Session看做是一個Java容器類。 6.cookie的保存內容大小有限制 單個cookie保存的數據不能超過4K,很多瀏覽器都限制一個站點最多保存20個cookie。 參考資料 1.cookie 和session 的區別詳解 http://www.cnblogs.com/shiyangxt/articles/1305506.html 2.老生常談session,cookie的區別,安全性 http://blog.51yip.com/php/938.html 3.知乎 https://www.zhihu.com/question/19786827
