session和cookie的区别
简洁描述:
cookie,主要存储在客户端,其值子啊客户端与服务器之间传递,不安全,存储的数量有限。
session:保存在服务端,每一个session在服务器端 有一个sessionID作为一个标识,存储量相当大,安全性相对高。占用服务端的内存资源。
详细描述:
cookie | session |
---|---|
cookie主要作用于客户端,其值在客户端与服务器之间传递 | session保存在服务器,每一个session在服务端都有一个sessionID作为标识 |
cookie不是很安全,他人可以通过分析存放在本地的cookie进行cookie欺骗,重要的数据不应存放在cookie中,但是将不重要的数据存放在cookie中可以缓解,由于访客量过多对造成的负载 | 相比于cookie,session更安全。session会在一段时内保持在服务器上,但是会占用内存资源,当访客过多是会加重服务器的负载,可以将不重要的数据存放在cookie中来缓解 |
cookie的数据存储量很有限,单个不超过4k,而且大多数的浏览器限制站点的cookie的个数不超过20个 | session的数据存储量大, session是占用的服务器内存,所以内存越大,能存的值就越大,原则上讲无上限,一般用于存储对安全要求较高的重要数据;但是Session相当于数组,存储的值越多性能越不好,容易丢失数据,所以,尽量少存值 |
由于HTTP协议是无状态协议,所以服务端需要记录用户状态时,就需要某种机制来识别具体的用户,这个机制就是session,典型的场景:购物车,当点击按钮时,由于HTTP协议无状态,所以并不知道哪个用户操作的,所以服务端要为特定的用户创建指定的session,用于表示这个用户,并跟踪用户,这才知道购物车里由几本书
session 保存在服务端,有一个唯一的标识。在服务端保存session的方法有很多,如内存、数据库、文件等
集群时要考虑到数据的转移,在大型的网站,一般会有专门的session服务集群,用来保存用户的会话,这话时候session存放的信息都在内存中;使用一些缓存比如Memcached之类来存放session,则使用cookie。每次HTTP请求的时候,客户端都会发送相应的cookie信息到服务端。实际上大多数时候用cookie来实现session的跟踪,每一次创建session的时候,服务端会在HTTP协议中告诉客户端,需要在cookie里记录一个sessionID,以后每次请求把这个ID发送到服务器中,这样服务器就知道是谁在操作