session和cookie的區別
前言:概念理解
協議,是指計算機通訊網路中兩台計算機之間進行通訊所必須共同遵守的規定或規則,超文字傳輸協議(http)是一種通訊協議,它允許將超文字標記語言(html)文件從web伺服器傳送到客戶端的瀏覽器。
http協議是無狀態的協議。一旦資料交換完畢,客戶端與伺服器端的連線就會關閉,再次交換資料需要建立新的連線。這就意味著伺服器無法從連線上跟蹤會話。
會話,指使用者登入**後的一系列動作,比如瀏覽商品新增到購物車並購買。會話(session)跟蹤是web程式中常用的技術,用來跟蹤使用者的整個會話。
常用的會話跟蹤技術是cookie與session。
cookie通過在客戶端記錄資訊確定使用者身份,
session通過在伺服器端記錄資訊確定使用者身份。
一.cookie
由於http是一種無狀態的協議,伺服器單從網路連線上無從知道客戶身份。使用者a購買了一件商品放入購物車內,當再次購買商品時伺服器已經無法判斷該購買行為是屬於使用者a的會話還是使用者b的會話了。怎麼辦呢?就給客戶端們頒發乙個通行證吧,每人乙個,無論誰訪問都必須攜帶自己通行證。這樣伺服器就能從通行證上確認客戶身份了。這就是cookie 的工作原理。
cookie實際上是一小段的文字資訊。客戶端請求伺服器,如果伺服器需要記錄該使用者狀態,就使用response向客戶端瀏覽器頒發乙個cookie。客戶端會把cookie儲存起來。
1、會話cookie和持久cookie
若不設定過期時間,則表示這個cookie的生命期為瀏覽器會話期間,關閉瀏覽器視窗,cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不儲存在硬碟上而是儲存在記憶體裡,當然這種行為並不是規範規定的。
若設定了過期時間,瀏覽器就會把cookie儲存到硬碟上,關閉後再次開啟瀏覽器,這些cookie仍然有效直到超過設定的過期時間。儲存在硬碟上的cookie可以在瀏覽器的不同程序間共享。這種稱為持久cookie。
2、cookie具有不可跨網域名稱性
二.session
session是另一種記錄客戶狀態的機制,不同的是cookie儲存在客戶端瀏覽器中,而session儲存在伺服器上。客戶端瀏覽器訪問伺服器的時候,伺服器把客戶端資訊以某種形式記錄
在伺服器上。這就是session。客戶端瀏覽器再次訪問時只需要從該session中查詢該客戶的狀態就可以了。
每個使用者訪問伺服器都會建立乙個session,那伺服器是怎麼標識使用者的唯一身份呢?事實上,使用者與伺服器建立連線的同時,伺服器會自動為其分配乙個sessionid。
1、兩個問題:
1)什麼東西可以讓你每次請求都把sessionid自動帶到伺服器呢?顯然就是cookie了,如果你想為使用者建立一次會話,可以在使用者授權成功時給他乙個唯一的cookie。當乙個
使用者提交了表單時,瀏覽器會將使用者的sessionid自動附加在http頭資訊中,(這是瀏覽器的自動功能,使用者不會察覺到),當伺服器處理完這個表單後,將結果返回給sessionid
所對應的使用者。試想,如果沒有 sessionid,當有兩個使用者同時進行註冊時,伺服器怎樣才能知道到底是哪個使用者提交了哪個表單呢。
2)儲存需要的資訊。伺服器通過sessionid作為key,讀寫到對應的value,這就達到了保持會話資訊的目的。
2、session的建立:
當程式需要為某個客戶端的請求建立乙個session時,伺服器首先檢查這個客戶端的請求裡是否已包含了sessionid,如果已包含則說明以前已經為此客戶端建立過session,服務
器就按照sessionid把這個session檢索出來使用(檢索不到,會新建乙個),如果客戶端請求不包含sessionid,則為此客戶端建立乙個session並且生成乙個與此session相關
聯的sessionid,sessionid的值是乙個既不會重複,又不容易被找到規律以仿造的字串,這個sessionid將被在本次響應中返回給客戶端儲存。
3、禁用cookie:
如果客戶端禁用了cookie,通常有兩種方法實現session而不依賴cookie。
1)url重寫,就是把sessionid直接附加在url路徑的後面。
2)表單隱藏字段。就是伺服器會自動修改表單,新增乙個隱藏字段,以便在表單提交時能夠把session id傳遞歸伺服器。比如:
4、session共享:
對於多**(同一父域不同子域)單伺服器,我們需要解決的就是來自不同**之間sessionid的共享。由於網域名稱不同(aaa.test.com和bbb.test.com),而sessionid又分別儲存
在各自的cookie中,因此伺服器會認為對於兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的網域名稱為父網域名稱達到cookie共享的目的,從而實現sessionid的共
享。帶來的弊端就是,子站間的cookie資訊也同時被共享了。
總結
1、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上。
2、cookie不是很安全,別人可以分析存放在本地的cookie並進行cookie欺騙,考慮到安全應當使用session。
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較占用你伺服器的效能,考慮到減輕伺服器效能方面,應當使用cookie。
4、單個cookie儲存的資料不能超過4k,很多瀏覽器都限制乙個站點最多儲存20個cookie。
5、可以考慮將登陸資訊等重要資訊存放為session,其他資訊如果需要保留,可以放在cookie中。
應用場景
登入**,今輸入使用者名稱密碼登入了,第二天再開啟很多情況下就直接開啟了。這個時候用到的乙個機制就是cookie。
session乙個場景是購物車,新增了商品之後客戶端處可以知道新增了哪些商品,而伺服器端如何判別呢,所以也需要儲存一些資訊就用到了session
Session和Cookie的區別
session和cookie的區別 1 儲存的位置不同 session儲存在伺服器端的記憶體中,占用伺服器資源。cookie是儲存在客戶端。可以是瀏覽器中或者是檔案中 2 儲存的時間不同 session是關閉當前會話相關瀏覽器後自動清空。cookie是根據過期時間而會有不同。3 安全性不同 sess...
cookie和session的區別
一 cookie機制和session機制的區別 具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。同時我們也看到,由於在伺服器端保持狀態的方案在客戶端也需要儲存乙個標識,所以session機制可能需要借助於cookie機制來達到儲存標識的目...
cookie和session的區別
分類 計算機網路 2011 10 21 10 43 4785人閱讀收藏 舉報 session 瀏覽器伺服器 servlet url儲存 一 cookie機制和session機制的區別 具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。同時我...