servlet保存客户会话信息:Session和Cookie
一个浏览器用户登录信息请求,将客户端的用户信息发到服务器端,保存到Session中。Session通过给客户端(浏览器)返回一个SessionID和其他的客户信息保存到客户端,即为Cookie。所以Session是可以结合Cookie实现的。
Session在服务器端保存客户信息,可以避免会话攻击,比较安全,但是其在服务器上占用服务器资源,如果多用户并发使用的时候将信息保存到Session上容易导致服务器资源占用大。
Cookie,将客户信息保存到客户端。有会话Cookkie和固定的Cookie。会话Cookie只针对本次浏览器打开的时候,一般保存在内存里,固定的Cookie一般保存在硬盘上,便于下次该用户操作直接使用Cookie中的信息。由于Cookie传送到服务器端的客户信息易被拦截修改攻击,所以没有Session安全。
建议:
1、用户的重要信息采用Session保存
2、用户一般信息采用Cookie保存。
3、并发服务器资源紧缺的时候,可以对Cookie进行加密传输,在服务器端解密来提高其安全性能。