HTTP 无状态协议
1、定义
HTTP无状态协议,是指协议对于交互性场景没有记忆能力。
2、存在的问题
设想在一个购物网站场景中,明明只需要在/login接口中才需比对账号密码的合法性和一致性,但由于HTTP无状态的特点,服务器不知道客户端是否已登录过了,所以每次都要在会话请求中携带上一次的请求信息,如账号、密码。比如添加商品到购物车也需要再一次的进行重复且没有必要的操作,这样既降低了响应速度,又对用户不友好。
3、解决办法(为什么要使用Cookie和Session)
由于HTTP本身是一个无状态的连接协议,但为了支持客户端与服务器之间的交互,我们就需要通过不同的技术为交互存储状态,而这些不同的技术就是Cookie和Session。
Cookie
1、作用
- 在客户端存储用户访问网站的一些信息
- 记住密码,下次自动登录
- 购物车功能
2、原理
当客户端第一次访问服务器时,服务器会生成一份cookie传输给客户端,客户端收到后将cookie保存起来,以后客户端再访问服务器就会自动的携带着这份cookie。
3、特点 / 缺点
- 保存到客户端,容易被篡改
- 大小受限,本身最大4kb
- 简单易懂好用
Session
1、作用
- 在服务端存储用户和服务器会话的一些信息
- 判断用户是否登录
- 购物车功能
2、原理
当客户端第一次访问服务器的时候,服务器会生成一份session保存在服务端,并将该session的id以cookie的形式传递给客户端;以后客户端的每次请求浏览器都会自动的携带该cookie(session数据的id)来访问服务器。
Cookie 与 Session 的共同点
都是用来跟踪浏览器用户身份的会话方式。
Cookie 与 Session 的区别
- 存放位置不同:cookie保存在客户端;session保存在服务端
- 安全性不同:cookie存储在浏览器中,客户端可见,容易被篡改;session存储在服务器上,对客户端透明,不存在敏感信息泄露的风险
- 存放数据类型不同:cookie只能保管ASCII字符串,假如需求存取Unicode字符或者二进制数据,需求先进行编码;session中能够存取任何类型的数据
- 性能不同:session会比较占用服务器性能,当访问增多时应用cookie