Http协议是无状态的协议,数据传输结束,客户端就会和服务器断开连接。如果想要再次传输,就需要重新进行连接。Http不会对之前发生过的请求和响应的状态进行管理。具体的例子,你浏览了某个网站,修改了数据;下一次别人也浏览了这个网站,也修改了同样的数据,服务器是无法判断两次修改是不是同样的用户。这个使用,就引入了一种机制:会话跟踪技术,用来跟踪用户的整个会话。常用的会话跟踪有Cookie和Session。
Cookie
Cookie通过客户端记录信息来确定用户的身份。浏览网站,服务器就会给客户端通过Http报文设置相关属性,每一个客户端拥有自己的Cookie。客户端将Cookie保存在本地,下一次请求该网站的时候,客户端就会把请求的网址和Cookie一起交给服务器,让服务器来识别。
Cookie是不可跨域名的,在不同的客户端请求相同的网址,比如在edge浏览器上请求www.bing.com和在360浏览器上请求www.bing.com,不同的客户端的Cookie是不相同的,不能相互访问。
Cookie不是很安全。别人可以通过分析本地的Cookie进行登录。
Session
Session通过服务器记录客户状态。第一次浏览网站,服务器检查服务器上有没有该用户,没有就创建Sessio对象,然后给客户端发送SessionId,客户端使用Cookie保存。下一次请求的时候,Http请求报文中会自动带上SessionId,每一次客户端请求服务器,服务器只需要通过SessionId,在服务器中查询该用户的状态。SesionId是服务器自动、随机分配的一个不会重复的字符串。
多个客户端执行程序的时候,服务器保存了多个Session。Session机制决定客户只会获取自己的Session。Session使用比Cookie方便,但是过多的Session会对服务器造成压力。
Session的id是保存在服务器上的,不能伪造,所以它是相对安全的。
总结
(1)Cookie数据保存在客户的浏览器上,而Session数据存在服务器上。
(2)Cookie不是很安全,别人可以分析本地Cookie。可以使用Session,或者加密Cookie。
(3)单个Cookie保存的数据是很小的,很多的浏览器限制一个站点最多保存20个Cookie;Session没有这样的限制,可以保存更复杂的数据类型。
(4)Cookie相当于身份证,检查身份证来确定身份;Session相当于后台的身份表,记录着不同用户的身份。要访问的时候,查一下表就可以了。
437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
