Session与Cookie的区别

Session与Cookie的区别

前提

• HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。
• 因此要跟踪用户的整个会话，常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

Session与Cookie的定义

—session的定义

• Session 是存放在服务器端的，类似于Session结构来存放用户数据，当浏览器 第一次发送请求时，服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session，并将其通过响应发送到浏览器。当浏览器第二次发送请求，会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上，服务器从请求中提取出Session ID，并和保存的所有Session ID进行对比，找到这个用户对应的Session。

—cookie的定义

• cookie是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。
• 用户再第一次访问服务器时,会将生成的cookie保存到本地，访问服务器时，浏览器会将请求和cookie同时发送给服务器，服务器根据用户携带的cookie辨识用户的身份。

Session与Cookie的区别

• cookie数据存放在用户本地，session数据放在服务器上。

• cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

• session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。

• 单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

• 可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。

——2018.8.13