Session是什么?
由于Http协议和Web服务器都是无状态的, 对于这两者来说,客户端的每一个请求都是一个新的请求,而且也不知道到底是哪个客户端发送过请求给服务端。
但是在我们的实际开发中, web应用程序就是需要保持状态:比如购物车买了东西,那么必然在结算的时候要把购物车的所有东西都清算,并在相应的客户账户上消费金额,这就需要客户端和服务端都保持一致的状态。
session是客户端和服务端共同在网络中登记的一种标志,客户端和服务端可以发起多个请求共同维护这个session值就能达到同步信任的状态。
现在目前有下面几种方式来使客户端和服务端维护一个状态:
- 用户认证
这是比较常用的方法,在用户的登陆页面提供验证信息的校验,保存用户信息用于客户端和服务端的校验。如果使用多个浏览器客户端登陆就不起作用了。 - 表单隐藏字段
[size=14px; font-family: 微软雅黑; font-weight: normal; color: #000000; font-style: normal; text-align: left; background-color: #ffffff;]在表单的隐藏字段设置一个特殊的值,用户保持客户端和服务端的会话一致,要注意的是这个值不能用于超链接,必须要跟随表单一起提交,因为这是客户端主动发起的。但是也不是安全的,可以通过网页源代码获取这个值从而进行攻击。[/size]
- URL重写
在每一个请求和响应的地址后面都跟一个参数,根据响应的参数来判断和页面上的其他参数有没有冲突进行状态的维护。 - Cookies
web服务器在发送请求的时候先存一份Cookies信息到响应的客户端,再次请求的时候把响应的cookies信息带到请求里来保持状态,如果浏览器禁止了Cookies,那么此种方式就无效了。