一、Cookie
1.什么是Cookie
Cookie是浏览器的数据片段,以key-value形式保存在客户端,当客户端用浏览器向服务器发送请求时,服务器会在响应中携带cookie,然后客户端将cookie存储在本地文件里,下次再次访问服务端是再发送给服务器端。网站经常使用cookie来识别用户是否登录。
2.cookie的作用
由于http一个无状态协议, 就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是需要进行用户状态保持的场景时(比如,登陆状态下进行页面跳转,或者用户信息多页面共享等场景),所以就必须需要用一些手段使服务器可以在不重复登录的情况下,完成对客户端的身份验证。
http是一个无状态的协议,但是访问有些资源的时候往往需要经过认证的账户才能访问,而且要一直保持在线状态,所以,cookie是一种在浏览器端解决的方案,将登陆认证之后的用户信息保存在本地浏览器中,后面每次发起http请求,都自动携带上该信息,就能达到认证用户,保持用户在线的作用,
3.cookie的有效时间
一般情况下,浏览器不可能永远保存一个cookie,一来是占用磁盘空间,二来cookie可能只有某一时刻有用没必要长期保存。
可以通过Cookie设置一个有效的时间,Cookie.setMaxAge()方法可以设置有效时间
4.cookie的优点
1.可以配置到期的规则
cookie可以在访问结束后立即到期,也可以在客户端无限保存
2.简单
cookie是一种基于文本的轻量级结构。
3.无需任何服务器资源
cookie不需要任何服务器资源,存储在本地客户端
5.cookie的缺点
1.大小限制:
Cookie有大小限制,并不能无限保存Cookie文件
2.不确定性:
如果客户端配置禁用cookie,那么在web应用中使用cookie将会被限制,客户端无法保存cookie
3.不安全:
将用户敏感信息放到本地浏览器中,能解决一定的问题,但是又引进了新的安全问题,一旦cookie丢失,用户信息泄露,也很容易造成跨站攻击,cookie是保存下本地的,现在有很多可以伪装cookie的软件,这回导致web服务器在认证用户是发生错误。
4.不可跨域名性。例如Google只会携带Google的cookie而不会去携带百度的cookie,更不能操作百度的cookie
二、Session
1.什么是session
session是一个抽象的概念,开发者为了实现浏览器和服务器之间的中断和继续等操作,将这种一对一的交互抽象为“会话”,进而衍生出“会话状态”,简单来说,session是记录客户状态的机制,这就是session的概念。
2.session的作用
将用户信息放到本地浏览器中,能解决一定的问题,但是又引进了新的安全问题,一旦cookie丢失,用户信息泄露,也很容易造成跨站攻击,所以有了另一种解决方法,将用户敏感信息保存至服务器,而服务器本身采用md5算法或相关算法生成唯一值(session id),将该值保存值客户端浏览器,随后,客户端的后续请求,浏览器都会自动携带该id,进而再在服务器端认证,进而达到状态保持的效果,这就是session的原理
session默认储存在服务器的一个文件里,session的运行依赖于session id,而session id存在于cookie当中。所以session虽然存在于服务端,但是对客户端是透明的,它的运行需要客户端浏览器的支持,这是由于session的使用还是基于cookie的,session需要使用cookie作为识别标识,http是一个无状态协议,session不能依靠http连接来确定是否为同一客户,所以当客户端浏览器发送请求时,服务器会生成一个session来标识这个客户,并返回sessionId封装到cookie中,发送给客户,客户端浏览器将携带sessionId的cookie保存在本地文件里,客户下一次登录时,服务器就可以通过请求中的cookie中的sessionid来找到储存在服务器内存中的session,从而来确定这是否是同一个用户
3.session生命周期
session保存在服务器端,为了获得更高的存取速度,服务器一般把session放到内存里,每个用户都有一个独立的session。但是如果session的内容过于复杂,当大量客户访问服务器时可能会导致内存溢出,所以session的内容应该尽量精简。
session在客户第一次访问服务器时自动创建(访问静态资源时不会自动创建),session生成后,只要用户继续访问,服务器就会更新session的最后访问时间,并维护session。
由于会有越来越多的用户访问服务器,session会越来越多,为发防止内存溢出,服务器会把长时间没有活跃的session从内存删除,这个时间就是session的超时时间,如果超过这个超时时间没有访问服务器,session会自动失效。
4.关于本地禁用cookie
要使用session,其实还是需要使用cookie机制来保存session id的,那么万一在客户端cookie机制被禁掉了,那session貌似也就无法使用了?其实替代方法是有的。
1.经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。服务器能够解析重写后的url获取sessionId。
2.还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器
三、Cookie和Session的区别
1.cookie数据放在客户端,session数据放在服务器上。
2.cookie不是很安全,由于放在客户端,容易被窃取和修改,session放在服务器,具有相对很高的安全性
3.session会在一定时间保存在服务器上,当访问增多,会比较占用服务器性能,当考虑性能方面时,应当使用cookie
4.cookie一般都有大小限制,以防止增加网络压力,一般不超过4k
5.存储的类型不同,cookie储存的信息为字符串,session可以储存任意类型
扫一扫
1629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
