cookie和session入门
cookie
什么是cookie
在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择都纪录下来。当下次你再光临同一个网站,WEB 服务器会先看看有没有它上次留下的 Cookie 资料,有的话,就会依据 Cookie里的内容来判断使用者,送出特定的网页内容给你。
原理
- 服务器创建cookie对象,把会话数据存储到cookie对象中。
- new Cookie(“name”,”value”);
- 服务器发送cookie信息到浏览器
- response.addCookie(cookie);
浏览器得到服务器发送的cookie,然后保存在浏览器端。
浏览器在下次访问服务器时,会带着cookie信息
- 服务器接收到浏览器带来的cookie信息
- request.getCookies();
一些细节
- Cookie数据类型只能保存非中文字符串类型。可以保存多个cookie,但是浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。
- 可以通过setPath(java.lang.String uri)和setMaxAge(int expiry)来设置cookie的有效访问路径和cookie的有效时间。
Session
什么是Session
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。
原理
当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。
保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。
常见应用
- 用户登录
- URL重写: 把session id直接附加在URL路径的后面
- 表单隐藏字段: 服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器
Cookie和Session区别
典型区别
1、cookie采用的是在客户端保持状态的方案,因此数据存放在客户的浏览器上,而session采用的是服务端保持状态的方案,因此数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗。 考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
总结
将登陆信息等重要信息存放为SESSION
其他信息如果需要保留,可以放在COOKIE中