什么是session:
1.session 是一种服务端机制,类似散列表结构来存储用户数据。
2.浏览器第一次向服务器发送请求的时候,服务器会自动生成一个session和sessionID
3.sessionID唯一标识这个session
4.服务器通过返回响应将sessionID发送回浏览器
5.浏览器第二次向该服务器发送请求时会携带该sessionID
6.服务器通过这个sessionID找到对应的session获取用户数据
session的保存:
1.一般服务器会在一定时间内保存该session(默认30分钟),时间过了就会销毁,销毁前程序员可以使用session保存一些key-value数据
2.可以使用序列化的方法将这个session保存在数据库中,好处是数据会一直存在,坏处是数据量会不断增加。所以一般是使用前一种方法。
sessionID的保存方法:
1.服务器通过设置cookies的方式将sessionID发送给浏览器。如果设置cookies的过期时间,那么cookies不会存在于硬盘上,随着浏览器的关闭而关闭。
2.使用URL附加信息的方式,也就是像我们经常看到JSP网站会有aaa.jsp?JSESSIONID=*一样的。这种方式和第一种方式里面不设置Cookie过期时间是一样的。
3. 第三种方式是在页面表单里面增加隐藏域,这种方式实际上和第二种方式一样,只不过前者通过GET方式发送数据,后者使用POST方式发送数据。但是明显后者比较麻烦。
session和cookies的区别:
1. Cookie和Session都是会话技术,Cookie是运行在客户端,Session是运行在服务器端。
2. Cookie有大小限制以及浏览器在存cookie的个数也有限制,Session是没有大小限制和服务器的内存大小有关。
3. Cookie有安全隐患,通过拦截或本地文件找得到你的cookie后可以进行攻击。
session和cookies的联系:
1.Cookies是属于Session对象的一种。但有不同,Cookies不会占服务器资源,是存在客服端内存或者一个cookie的文本文件中;而“Session”则会占用服务器资源。所以,尽量不要使用Session,而使用Cookies。但是我们一般认为cookie是不可靠的,session是可靠地,但是目前很多著名的站点也都以来cookie。有时候为了解决禁用cookie后的页面处理,通常采用服务器端程序url重写技术,调用session中大量有用的方法从session中获取数据后置入页面。
使用cookies需要注意的方面:
1.不要保存私人信息。
2.任何重要数据,最好通过加密形式来保存数据(最简单的可以用URLEncode,当然也可以用完善的可逆加密方式,遗憾的是,最好不要用md5来加密)。
3.是否保存登陆信息,需有用户自行选择。
4.长于10K的数据,不要用到Cookies。
cookies的典型应用:
1.判断用户是否登陆过网站,以便下次登录时能够直接登录。如果我们删除cookie,则每次登录必须从新填写登录的相关信息。
2.存储用户的购物车数据(页面信息,商品信息),当然会有安全性方面的考虑。