Cookie&Session
- 联系:Cookie和Session都属于会话跟踪技术。会话跟踪技术是一种服务器跟踪浏览器用户身份的技术,以便在同一次会话的多次请求间共享数据。当用户打开浏览器访问资源时,会话建立,直到一方断开,才会话结束。一次会话中可能会有多次请求。而HTTP协议是无状态的,每次向服务器发起的请求都会被视为一个新的请求。因此我们需要会话跟踪技术来实现会话内的数据共享。Session的实现过程中需要用到Cookie.
- 区别
- 存储位置: Cookie存在客户端,Session存在服务器端
- 安全性: Cookie不安全,当别人获取到Cookie时可以使用Cookie进行Cookie欺诈。Session安全。
- 数据大小,Cookie 最大3KB,Session 无大小限制
- 服务器性能:Cookie不占服务器资源,Session占服务器资源
Cookie
- 存储在浏览器端
- 实现
基于HTTP实现,通过设置响应头set-cookie
和请求头cookie
来传递信息 - 存活时间
- 默认,Cookie存储在浏览器内存中,浏览器关闭,Cookie被销毁
setMaxAge(int seconds): 设置存活时间,Cookie写入浏览器所在电脑的磁盘,持久化存储,时间一到自动销毁
- 运行流程
- 浏览器第一次向服务器发送请求
- 服务器接受请求后创建Cookie,并发送给浏览器。Cookie中会包含用户信息
- 浏览器第二次向服务器发送请求时会携带Cookie
- 服务器根据接收到的Cookie来识别浏览器用户,获取信息
- 注意:Cookie不能存储中文,需要进行转码。URL编码
Session
- 存储在服务器端
- 实现需要Cookie来传输信息
- 存活时间:默认30分钟,也可以设置。可通过
invalidate()
注销Session - 运行流程
- 浏览器第一次向服务器发送请求
- 服务器接受请求后创建Session来保存信息,并通过Cookie将SessionID(JSESSIONID)发送给浏览器。
- 当浏览器再次向服务器发送请求时,将面临两种情况。倘若存在带有SessionID的Cookie,浏览器向服务器发送请求时会携带它。服务器也将根据接受到的Cookie中的SessionID去查找Session,如果Session找到了,就返回Session对象。若没找到服务器将会把此次请求当作第一次请求。
- 若不存在携带SessionID 的Cookie(浏览器关闭),则来到第二步。
- Session钝化与活化
- 钝化 :服务器关闭时,Tomcat会将Session数据写入磁盘
- 活化:服务器启动时,Tomcat会从磁盘中读取数据到