我们计算机中有两个机制,他们有一种类似于跟踪信息的技术,懂的都懂,第一时间相信各位想到的cookie与session了
首先,先清楚这两者的定位,Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
Cookie机制:
在程序中理论上而言,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话。
例:有两个用户张三和张三丰,用户张三购买了一件商品放入购物车,当过会再次购买商品时,服务器已经无法判断,该购买行为是属于张三的会话还是张三丰的会话了;所以要跟踪该会话,要确认用户信息,必须引入一种机制,而Cookie就是这样的一种机制。
现在是网络时代,大家基本上无时无刻不在和它打交道,但由于http是一种无状态的协议,服务器单单从网络链接肯定无法确定用户身份,就给那些客户端们颁发一个通行证吧,每人访问时必须携带通行证,这样服务器端就能通过通行证来区别用户了,这就是cookie的工作原理
客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器发一个Cookie,客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器;服务器检查该Cookie,以此来辨认用户状态。
Cookie的不可跨域名:
根据Cookie规范,浏览器访问搜狗只会携带搜狗的Cookie,而不会携带Google的Cookie。同理,Google也只能操作Google的Cookie,而不能操作搜狗的Cookie。
浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名,搜狗和Google域名不一样,所以他们不能互相操作cookie
Unicode编码:
Cookie中使用Unicode字符时需要对Unicode字符进行编码,否则会乱码,一般使用UTF-8编码
Cookie有效期:
Cookie中的SetMaxAge决定着其生命周期,通过此方法给cookie具体生命时间赋值,单位是秒,如SetMaxAge(3600),则其生命周期为一小时,无论客户关闭了浏览器还是电脑,只要还在3600秒之前,登录网站时该Cookie仍然有效。
注:浏览器提交Cookie时只会提交name与value属性,maxAge属性只被浏览器用来判断Cookie是否过期。
Cookie增删改:
如果setMaxAge(0),则表示删除该Cookie。
response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie)。
要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie,达到修改的目的
Session机制:
除了Cookie,Web应用程序中经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。
Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
Session的用户登录:
Session在javax.servlet.http.HttpSession类中,所有该客户的状态信息都保存在这个Session对象里。
Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对,通过getAttribute(String key)和setAttribute(String key,Object value)方法拿到和存入客户状态信息。
Servlet里通过request.getSession()方法获取该客户的Session,也必须通过调这种方法来获取HttpSession对象;
也还有另一种方式获取Session对象,但依旧是用getSession方法,不过里面传布尔值参数
request.getSession(boolean create)
区别是如果该客户的Session不存在,request.getSession()方法会返回null,而getSession(true)会先创建Session再将Session返回。
当多个客户端执行程序时,服务器会保存多个客户端的Session。获取Session的时候也不需要声明获取谁的Session。Session机制决定了当前客户只会获取到自己的Session,而不会获取到别人的Session。各客户的Session也彼此独立,互不可见。
Session的生命周期:
Session是保存在服务器端,为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session,如果Session内容过于复杂, 当大量客户访问服务器时可能会导致内存溢出。因此,Session里 的信息应该尽量精简。
为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除,过了这个时间段就是Session的超时时间。如果到了超时时间没访问过服务器,Session就自动失效了。
Session在用户第一次访问服务器时自动创建,Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。
Session的超时时间为maxInactiveInterval属性,
可以通过getMaxInactiveInterval()获取,通过setMaxInactiveInterval(longinterval)修改。
通过调用Session的invalidate()方法可以使Session失效。
关闭服务器,浏览器,Session也会消亡。
cookie和session的区别:
1、cookie数据存放在客户的浏览器上,session数据放在服务器上.
如果web服务器端使用的是session,那么所有的数据都保存在服务器上面,
客户端每次请求服务器的时候会发送 当前会话的session_id,服务器根据当前session_id判断
相应的用户数据标志,以确定用户是否登录,数据是存在服务器上,也不能伪造
session_id是服务器和客户端链接时候随机分配的,一般来说是不会有重复,但如果有大量的
并发请求,也不是没有重复的可能性。
Session是由应用服务器维持的一个服务器端的存储空间,用户在连接服务器时,会由服务器
生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间,而
SessionID这一数据则是保存到客户端,用户提交页面时,会将这一 SessionID提交到服务器端,
来存取Session数据。
2、cookie不是很安全,数据是在客户端,考虑到安全应当使用session。
3、 cookie.setMaxAge() 会使cookie过期,但是使用session.destory(),我们将会销毁会话,这意味着它将从PHP的会话存储中删除,不能再次使用。
4、session的访问较多,会比较占用服务器的内存,考虑减轻服务器性能方面,可适当使用cookie。
5、cookie在数据保存上远不如Session,单个cookie保存的数据不能超过4K,Session对象没有对存储的数据量的限制,可以保存很复杂的数据类型
两者最大的区别在于生存周期和定位:
在不调用其他方法的情况下,
服务器,浏览器一关闭 , session就消失了,而cookie是是可以设置生存周期,或永久的保存于本地的文件
session存在于服务器端,cookie存在于浏览器端!