Session 和 Cookie_php 会话层关闭浏览器 cookie session-CSDN博客

本文链接：https://blog.csdn.net/Cooling88/article/details/52169558

Session基础知识：

会话（session）是一种持久网络协议，在客户端和服务器端之间建立关联，从而起到交换数据包的作用机制，session在网络协议（例如telnet或FTP）中是非常重要的部分。会话层建立、维持并同步两个正在通信的系统（进程）之间的交互。

HTTP传输协议无法长时间驻留会话层，会话的维持需要在传输数据中的高级别程序。例如，在浏览器和远程服务器之间的HTTP传输中，HTTP的cookie就被用来包含一些会话相关的信息，比如session ID，参数和权限信息等。

软件实现：

TCP协议中的会话通常是通过子进程和（或）多线程在软件中实现的，当计算机建立或者加入一个会话时即创建一个新的进程或线程。HTTP 会话通常不会针对每个会话创建一个线程，而是由一个储存每个会话状态信息的数据库实现的。

当客户端在多个服务器调取数据时，保持会话状态的一致性是需要注意的，多个服务器端需要共享一个储存会话信息的文件系统或者数据库。否则，当用户在一个新的而不是一开始保存会话信息的主机上提交访问请求的时候，新的主机会因为无法获知原来主机的会话的访问状态而产生问题。（session共享）

服务端的会话：

在负载均衡集群中，服务端的会话需要是快速而高效的，可以通过共享存储或者设立独立的存储服务器来解决session共享的问题。

客户端的会话：

客户端会话使用了Cookie和加密技术来完成会话层的数据存储需求。

服务端会话和客户端会话的协作：

在动态页面完成解析的时候，服务器上储存在会话（session）中的变量会被压缩后传输给客户端的Cookie。此时完全依靠客户端的文件系统（硬盘cookie）来保存这些数据（或者内存cookie）。

在每一个成功的请求中，Cookie中都保存有服务器端用户所具有的身份证明（PHP中的session id）或者更为完整的数据。虽然这样的机制可以保存数据的前后关联，但是必须要保障数据的完整性和安全性。

=============================================================================================

cookie基础知识

Cookie（复数形态Cookies），中文名称为“小型文本文件”或“小甜饼”，指某些网站为了辨别用户身份而储存在用户本地终端（Client Side）上的数据（通常经过加密）。定义于RFC2109。是网景公司的前雇员卢·蒙特利在1993年3月的发明。

cookie分类：

Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie。

     内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。所以，按存在时间，可分为非持久Cookie和持久Cookie。 

 
 cookie作用： 

      因为HTTP协议不能长期驻留会话层，也即HTTP协议是无状态的，服务器不知道与它进行会话的用户上一次做了什么，这严重阻碍了交互式Web应用程序的实现。cookie却能很好的解决这个问题： 
 服务器可以设置或读取Cookies中包含的信息，借此维护用户跟服务器会话中的状态。

 
 应用场景: 

      典型的网上购物场景中，用户浏览了几个页面，买了一盒饼干和两饮料。最后结帐时，由于HTTP的无状态性，不通过额外的手段，服务器并不知道用户到底买了什么。所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。 
 
 

      在刚才的购物场景中，当用户选购了第一项商品，服务器在向用户发送网页的同时，还 
 发送了一段Cookie，记录着那项商品的信息。当用户访问另一个页面， 
 浏览器会把Cookie发送给服务器，于是服务器知道他之前选购了什么。用户继续选购饮料， 
 服务器就在原来那段Cookie里追加新的商品信息。结帐时，服务器读取发送来的Cookie就行了。 
 
 

Cookie另一个典型的应用是当登录一个网站时，网站往往会请求用户输入用户名和密码，并且用户可以勾选“下次自动登录”。如果勾选了，那么下次访问同一网站时，用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时，服务器发送了包含登录凭据（用户名加密码的某种加密形式）的Cookie到用户的硬盘上。第二次登录时，（如果该Cookie尚未到期）浏览器会发送该Cookie到服务器，服务器验证凭据，于是不必输入用户名和密码就让用户登录了。

Cookie的缺陷：

（1）Cookie会被附加在每个HTTP请求中，所以无形中增加了流量。

     （2）由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题。（除非用HTTPS） 

     （3）Cookie的大小限制在4KB左右。对于复杂的存储需求来说是不够用的。 

偷窃Cookies和脚本攻击：

虽然Cookies没有中电脑病毒那么危险，但它仍包含了一些敏感消息：用户名，电脑名，使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去，尤其是当其中还包含有私人信息的时候。

  这并非危言耸听，跨站点脚本（Cross site scripting）可以达到此目的。在受到跨站点脚本攻击时，Cookie盗贼和Cookie毒药将窃取内容。一旦Cookie落入攻击者手中，它将会重现其价值。 

     Cookie盗贼：搜集用户Cookie并发给攻击者的黑客。攻击者将利用Cookie消息通过合法手段进入用户帐户。 

     Cookie投毒：一般认为，Cookie在储存和传回服务器期间没有被修改过，而攻击者会在Cookie送回服务器之前对其进行修改，达到自己的目的。例如，在一个购物网站的Cookie中包含了顾客应付的款项，攻击者将该值改小，达到少付款的目的。这就是Cookie投毒。 

=============================================================================================

来来来，大家随意品尝......

深入理解：参考链接http://www.cnblogs.com/shiyangxt/archive/2008/10/07/1305506.html

      当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择， 
 都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie  
 里的内容来判断使用者，送出特定的网页内容给你。 Cookie 的使用很普遍，许多有提供个人化服务的网站，都是利用 Cookie  
 来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 email 网站，都要用到 Cookie。 

  具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。 
 同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制 
 来达到保存标识的目的，但实际上它还有其他选择。 

 
 cookie机制 

      正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示 
 浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用 
 是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围 
 大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。 

 
     cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间，则表示这 
 个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。 
 会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把cookie 
 保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。 存储在硬盘上的cookie可以在不同的浏 
 览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的处理方式 

 
 session机制 

      session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。 

 
     当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识 
 （称为session id），如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来 
 使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相 
 关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应 
 中返回给客户端保存。保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给 
 服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时 
 仍然能够把session id传递回服务器。 
 经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器 
 会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如： 

 
   <form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
<input type="text">
</form>

  实际上这种技术可以简单的用对action应用URL重写来代替。 

 
 cookie 和 session 的区别： 

  1、cookie数据存放在客户的浏览器上，session数据放在服务器上。 

  2、cookie不是很安全，别人可以分析存放在本地的 COOKIE 并进行 COOKIE 欺骗 
 考虑到安全应当使用session。 

  3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能 
 考虑到减轻服务器性能方面，应当使用COOKIE。 

  4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。 
   

  5、所以个人建议： 

     将登陆信息等重要信息存放为SESSION 

     其他信息如果需要保留，可以放在COOKIE中 
   

  6、关于cookie session的形象比喻： 咖啡馆满五杯送一杯的活动。http是无状态的。 

  
     服务员完全记住每个顾客的数量，及这次应该是收费还是免费 （对应 是有状态的）。
 
   顾客有个会员卡，每消费一次店里盖章，卡有用户持有。（cookie）
  
   顾客有卡号，记录有店主来记录器消费记录。信息由咖啡店持有（session）

根据所学知识以及wiki整理而来，如有不恰当之处，还请大家指正，学无止境，共同进步.