一、cookie(存在客户端)
- 服务端为了记录用户状态,会在返回给浏览器的response中加入cookie,浏览器会保存cookie.当浏览器再请求服务端时,会把cookie带上。 服务器还可以根据需要修改Cookie的内容
- Cookie具有不可跨域名性 (google和baidu之间不互通)。由浏览器进行管理,通过域名进行区分
- Cookie有些属性可以设置(失效时间)
- cookie失效分为2种:
a.设置过期时间失效(只要设置了过期时间cookie就会存储在硬盘里面)
b.当会话结束时失效,即关闭浏览器窗口(如果没有设置Expires,cookie就会存储在内存里面)
二、Session(存在服务端)
- 除了使用Cookie,Web应用程序中还经常使用Session来记录客户端状态
- 每个用户对应一个session对象, 服务器一般把Session放在内存里
- 虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户 (但不是必须依赖cookie,还有其他方式,比如url改写)
三、二者区别
1、cookie数据存放在客户的浏览器上,session数据放在服务器上.
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session。
3、设置cookie时间可以使cookie过期。但是使用session-destory(),我们将会销毁会话
4、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能考虑到减轻服务器性能方面,应当使用cookie。
5、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。(Session对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型)
两者最大的区别在于生存周期,一个是IE启动到IE关闭.(浏览器页面一关 ,session就消失了),一个是预先设置的生存周期,或永久的保存于本地的文件。(cookie)
https://www.cnblogs.com/l199616j/p/11195667.html
https://blog.csdn.net/whl190412/article/details/90024671 (个人感觉,这个更生动)