session和cookie的區別

1、session與cookie區別

本來關於session與cookie查了好多資料，也有了不少想法，檢視其他大神blog的時候，發現有一篇寫的很好，條理清晰，推薦給大家

2、session與cookie的生命週期

首先要明確session的定義，當使用者開啟瀏覽器第一次訪問伺服器的時候，會建立session(訪問靜態資源部建立session)，也可以用session.getsession();強制servlet建立session

session有以下幾個特點：

1、seesion中的資料是儲存在伺服器zhong

2、session可以儲存任何資料型別

3、session的預設有效期是30min，不過也可以手動配置

因為session的資料是放在伺服器中，當短時間大訪問量時，過多的session資料會給伺服器造成壓力，但是session的有效時間可以在配種檔案中定義，可以通過配置減少伺服器壓力

10 1 2 3 session的生命週期自第一次訪問瀏覽器時建立，結束有兩種方式 1、銷毀：可以使用 request.getsession().invalidate()；銷毀session，session生命是週期結束 2、過期：當session存在時間超過有效期，自動銷毀

cookie特點：

1、cookie的資料存在客戶端，未設定有效期，則儲存在計算機記憶體中，設定了有效期，則儲存在硬碟中。

2、cookie較session安全性更低，可以通過解析本地的cookie檔案進行cookie欺騙

3、若不設定過期時間，則表示這個cookie的生命期為瀏覽器會話期間，關閉瀏覽器視窗，cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。同樣，cookie也可以設定有效期，設定了有效期的cookie不會隨著瀏覽器的關閉而消失，而是到了有效期才會消失

cookie的內容主要包括：名字，值，過期時間，路徑和域。路徑與域一起構成cookie的作用範圍。

cookie不能跨瀏覽器，新開的視窗會重新建立新的cookie，但是子視窗不會重新建立cookie

3、session和cookie安全性

眾所周知，服務端儲存資料用session，客戶端儲存資料用cookie。

要想盜用session必須要拿到cookie中存放的sessionid，雖然cookie中的sessionid是加密過的，但也不是絕對安全的。

重要的使用者資料儲存在session中，cookie可以儲存其他資料