session和cookie的理解和使用

cookie：

    原理：

        1、如何设置的？

            php中通过setcookie函数设置，当用户第一次浏览某个使用Cookie的网站时，该网站的服务器就进行如下工作：

①该用户生成一个唯一的识别码（Cookie id），创建一个Cookie对象；

②默认情况下它是一个会话级别的cookie，存储在浏览器的内存中，用户退出浏览器之后被删除。如果网站希望浏览器将该Cookie存储在磁盘上，则需要设置最大时效（maxAge），并给出一个以秒为单位的时间（将最大时效设为0则是命令浏览器删除该Cookie）；

③将Cookie放入到HTTP响应报头，将Cookie插入到一个 Set-Cookie HTTP请求报头中。
④发送该HTTP响应报文，浏览器收到该响应报文之后，根据报文头里的Set-Cookied特殊的指示，生成相应的Cookie，保存在客户端。该Cookie里面记录着用户当前的信息


         2、如何获取Cookie？
①当用户再次访问该网站时，浏览器首先检查所有存储的Cookies，如果某个存在该网站的Cookie（即该Cookie所声明的作用范围大于等于将要请求的资源），则把该cookie附在请求资源的HTTP请求头上发送给服务器。

 ②服务器接收到用户的HTTP请求报文之后，从报文头获取到该用户的Cookie，从里面找到所需要的东西。php则是把它放在了$_COOKIE全局数组中。

缺陷

①Cookie会被附加在每个HTTP请求中，所以无形中增加了流量。
②由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题。（除非用HTTPS）
③Cookie的大小限制在4KB左右。对于复杂的存储需求来说是不够用的。

session： 

    原理：

        1、如何设置的？

            当用户访问到一个服务器，如果服务器启用Session，服务器就要为该用户创建一个SESSION，在创建这个SESSION的时候，服务器首先检查这个用户发来的请求里是否包含了一个SESSION ID，如果包含了一个SESSION ID则说明之前该用户已经登陆过并为此用户创建过SESSION，那服务器就按照这个SESSION ID把这个SESSION在服务器的内存中查找出来（如果查找不到，就有可能为他新创建一个），如果客户端请求里不包含有SESSION ID，则为该客户端创建一个SESSION并生成一个与此SESSION相关的SESSION ID。这个SESSION ID是唯一的、不重复的、不容易找到规律的字符串，这个SESSION ID将被在本次响应中返回到客户端保存，而保存这个SESSION ID的正是COOKIE，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。

        2、如何获取的？

            session默认通过存在cookie中的sessionid查找存储在服务器上的session信息。如果cookie被禁用，则需要手动通过url或表单形式将sessionid传给服务器。

php中sessionid的获取方式是 session_id()函数，如果有参数则是设置sessionid，设置sessionid必须在session_start()之前，例子：

1. <?php   
2. /** 
3.  * 模拟客户端 
4.  */  
5. $url = "http://test.cc?sid=b1hr1sns2f5uoboanl3q059e1g51rof7&name=";  
6. $json = file_get_contents($url);  
7. echo $json;  
8. ?>  

[php]  view plain  copy

1. <?php  
2.    /** 
3.     * 模拟服务端 
4.     * url 传递 session_id 
5.     */  
6.    if(isset($_GET['sid']) && $_GET['sid']!=''){  
7.         $sid = $_GET['sid'];  
8.         session_id($sid); //把上面的session——id 赋给他   
9.         session_start();  
10.          
11.    }else{  
12.        session_start();  
13.        $name = isset($_GET['name']) && !empty($_GET['name'])?$_GET['name']:'dfq';  
14.        $sessionId= session_id();  
15.        $_SESSION['users']=array('name'=>$name,'sid'=>$sessionId);  
16.    }  
17.      
18.    echo json_encode(array('msg'=>'success!','sdata'=>$_SESSION));  

Cookie和Session的区别

1、存放位置不同

Cookie保存在客户端，Session保存在服务端。

2 、存取方式的不同

 Cookie中只能保管ASCII字符串，假如需求存取Unicode字符或者二进制数据，需求先进行编码。Cookie中也不能直接存取Java对象。若要存储略微复杂的信息，运用Cookie是比拟艰难的。 

而Session中能够存取任何类型的数据，包括而不限于String、Integer、List、Map等。Session中也能够直接保管Java Bean乃至任何Java类，对象等，运用起来十分便当。能够把Session看做是一个Java容器类。 

3、安全性（隐私策略）的不同 

Cookie存储在浏览器中，对客户端是可见的，客户端的一些程序可能会窥探、复制以至修正Cookie中的内容。而Session存储在服务器上，对客户端是透明的，不存在敏感信息泄露的风险。 假如选用Cookie，比较好的方法是，敏感的信息如账号密码等尽量不要写到Cookie中。最好是像Google、Baidu那样将Cookie信息加密，提交到服务器后再进行解密，保证Cookie中的信息只要本人能读得懂。而假如选择Session就省事多了，反正是放在服务器上，Session里任何隐私都能够有效的保护。 

4、有效期上的不同 

只需要设置Cookie的过期时间属性为一个很大很大的数字，Cookie就可以在浏览器保存很长时间。 由于Session依赖于名为JSESSIONID的Cookie，而Cookie JSESSIONID的过期时间默许为–1，只需关闭了浏览器（一次会话结束），该Session就会失效。

5、对服务器造成的压力不同 

Session是保管在服务器端的，每个用户都会产生一个Session。假如并发访问的用户十分多，会产生十分多的Session，耗费大量的内存。而Cookie保管在客户端，不占用服务器资源。假如并发阅读的用户十分多，Cookie是很好的选择。

6、 跨域支持上的不同 

Cookie支持跨域名访问，例如将domain属性设置为“.baidu.com”，则以“.baidu.com”为后缀的一切域名均能够访问该C