无状态的 Http 的状态保持
Cookies
- 本质上其实就是浏览器储存再用户电脑上面的一小段文本文件
- 纯文本,由键值对构成,分号空格隔开
- 存储在浏览器,但通常由服务端设置
- 大小限制为
4kb
左右 - cookies 指定过期时间,如果没有指定,则在浏览器关闭的时候失效(但是 session 不一定失效)
Session
存放在服务器,并且经过相应的加密,缓存用户的信息, session
过期时信息过期。当服务端接受到一个用户的请求的时候,服务端会将用户信息和 salt
一起进行加密,存放在 session
当中,本质上是在磁盘中的一个指定的位置(内存,本地磁盘,数据库,redis)。生成的 session
将会对应一个特定的 session-id,并且服务端会通过这个唯一标识作为键,将 session-id
和 session
对象 作为键值对存放在 Map
集合中。然后服务端将会把这个 id
通过 cookie
的方式,也就是在 set-cookie
的 header
中响应给客户端,客户端将这个 id
保存在浏览器本地缓存中。
服务端生成 session
之后,当客户端再次访问服务端的时候,将会在请求的 set-cookie
中当中包含了这个 session-id
,服务端通过这个 session-id
在集合中找到对应当前客户端(即用户)的 session
,从而跟踪到用户上次访问页面时的状态,返回相应的内容。
所以事实上,Cookie 和 Session 本质上是相同的,也就是通过 JSON 的数据形式保存用户上次访问这个网站的状态,Cookie 是将这些内容直接保存在本地缓存中,而 Session 则是将内容保存在服务端,客户端仅保存一个对应的 session-id。显然,将状态内容保存在服务端是一种更加安全的方式,通过在服务端设置相应的认证,使得用户的请求的合法性在开发者的掌握当中,并且使得用户信息不会被第三方网站利用而发动相应的攻击。