會話跟蹤是Web程式中常用的技術,用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份,Session通過在伺服器端記錄信息確定用戶身份。 本文將講解Cookie和Session以及它們的區別。 ...
會話跟蹤是Web程式中常用的技術,用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份,Session通過在伺服器端記錄信息確定用戶身份。
本文將講解Cookie和Session以及它們的區別。
Cookie
HTTP 協議是無狀態的,主要是為了讓 HTTP 協議儘可能簡單,使得它能夠處理大量事務。HTTP/1.1 引入 Cookie 來保存狀態信息。
Cookie 是伺服器發送給客戶端的數據,該數據會被保存在瀏覽器中,並且客戶端的下一次請求報文會包含該數據。通過 Cookie 可以讓伺服器知道兩個請求是否來自於同一個客戶端,從而實現保持登錄狀態等功能。
創建過程
伺服器發送的響應報文包含 Set-Cookie 欄位,客戶端得到響應報文後把 Cookie 內容保存到瀏覽器中。
HTTP/1.1 200 OK
Server: nginx/1.10.3 (Ubuntu)
Date: Wed, 04 Apr 2018 07:52:53 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Vary: Cookie
X-Frame-Options: SAMEORIGIN
Set-Cookie: csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu; expires=Wed, 03-Apr-2019 07:52:53 GMT; Max-Age=31449600; Path=/; secure
Strict-Transport-Security: max-age=315360000; includeSubDomains
Content-Encoding: gzip客戶端之後發送請求時,會從瀏覽器中讀出 Cookie 值,在請求報文中包含 Cookie 欄位。
GET / HTTP/1.1
Host: leetcode-cn.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_fa218a3ff7179639febdb15e372f411c=1522568819,1522574611,1522657411,1522828353; Hm_lpvt_fa218a3ff7179639febdb15e372f411c=1522828370; csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu分類
- 會話期 Cookie:瀏覽器關閉之後它會被自動刪除,也就是說它僅在會話期內有效。
- 持久性 Cookie:指定一個特定的過期時間(Expires)或有效期(Max-Age)之後就成為了持久性的 Cookie。
Set-Cookie: csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu; expires=Wed, 03-Apr-2019 07:52:53 GMT; Max-Age=31449600; Set-Cookie
| 屬性 | 說明 |
|---|---|
| NAME=VALUE | 賦予 Cookie 的名稱和其值(必需項) |
| expires=DATE | Cookie 的有效期(若不明確指定則預設為瀏覽器關閉前為止) |
| path=PATH | 將伺服器上的文件目錄作為 Cookie 的適用對象(若不指定則預設為文檔所在的文件目錄) |
| domain=功能變數名稱 | 作為 Cookie 適用對象的功能變數名稱(若不指定則預設為創建 Cookie 的伺服器的功能變數名稱) |
| Secure | 僅在 HTTPs 安全通信時才會發送 Cookie |
| HttpOnly | 加以限制,使 Cookie 不能被 JavaScript 腳本訪問 |
Session
Session 是伺服器用來跟蹤用戶的一種手段,使用上比Cookie簡單一些,相應的也增加了伺服器的存儲壓力。每個 Session 都有一個唯一標識:Session ID。當伺服器創建了一個 Session 時,給客戶端發送的響應報文包含了 Set-Cookie 欄位,其中有一個名為 sid 的鍵值對,這個鍵值對就是 Session ID。客戶端收到後就把 Cookie 保存在瀏覽器中,並且之後發送的請求報文都包含 Session ID。
當Cookie被禁用時,可以跟在url的後面,或者以表單的形式提交到伺服器端,從而使伺服器端瞭解客戶端的狀態。
兩者比較
聯繫:
Cookie與Session都是用來跟蹤瀏覽器用戶身份的會話方式。
區別:
- Cookie數據存放在客戶的瀏覽器上,Session數據放在伺服器上。
- Cookie不是很安全,別人可以分析存放在本地的Cookie併進行Cookie欺騙,如果主要考慮到安全應當使用加密的Cookie或者Session。
- Session會在一定時間內保存在伺服器上。當訪問增多,會比較占用你伺服器的性能,如果主要考慮到減輕伺服器性能方面,應當使用Cookie。
- 單個Cookie在客戶端的限制是4K,很多瀏覽器都限制一個站點最多保存20個Cookie。
我的博客即將搬運同步至騰訊雲+社區,邀請大家一同入駐:https://cloud.tencent.com/developer/support-plan
