为什么需要Session和 cookie
因为需要记录状态,而http是一种无状态的协议,从而就引入了Session和Cookie机制来实现装填的记录。
Session和Cookie的特征
- Session 和 Cookie都是由服务器生成的
- Session 和 cookie都是键值对应的,都是用来存储应用的状态信息。
- Session是保存在服务器的,而Cookie是以信息头的方式返回给客户端,由客户段保存使用的。
Session的ID通常会以Cookie的形式返回给客户端,客户端只需要提交SessionID给服务器,由服务器去读取SessionID对应的session值 - Session 和Cookie都是有生命周期的
:Cookie的生命周期是由cookie自己的存活时间和客户端是否保留Cookie来决定的
: Session的生命周期是由Session的存活时间和客户端是否关闭来决定的。客户端关闭本质上是客户端丢失了SessionID,可能服务器端对应的Session对象还存活
Session和Cookie安全性对比
- cookie的值和名称,客户端都是可见的。但是Session的名称和值,客户段都是不可见的,客户端能够持有的只是一个随机的SessionID而已。