小议 session与cookie

最新推荐文章于 2024-09-16 01:56:04 发布

weixin_34203426

最新推荐文章于 2024-09-16 01:56:04 发布

阅读量70

点赞数

文章标签：数据结构与算法面试

原文链接：http://blog.51cto.com/9416981/1565613

版权

面试中经常碰到请阐述session与cookie的区别与联系，以及如何修改两者的有效时间。

所以特意在网上找了很多资料，发现很多一篇不错的文章，在加上自己的见解，特整理归纳在此，有不对的请指正。

cookie的本质 Cookie是一种Web服务器通过浏览器在访问者的硬盘上存储信息得一种手段，它以文本信息保存在用户计算机的硬盘上。是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器。

会话(session) 状态管理机制克服了HTTP的一些限制并允许网络客户端及服务器端维护请求间的关系。在这种关系维持的期间叫做会话(session)。

cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。

^{同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以}^session^机制⁽^很⁾^{可能需要借助于}^cookie^{机制来达到保存标识的目的，但实际上它还有其他选择。}

^cookie^机制。^正统的^cookie^{分发是通过扩展}^HTTP^{协议来实现的，服务器通过在}^HTTP^{的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的}^cookie^而^cookie^{的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的}^cookie^{，如果某个}^cookie^{所声明的作用范围大于等于将要请求的资源所在的位置，则把该}^cookie^{附在请求资源的}^HTTP^{请求头上发送给服务器。、}

^cookie^{的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成}^cookie^{的作用范围。若不设置过期时间，则表示这个}^cookie^{的生命期为浏览器会话期间，关闭浏览器窗口，}^cookie^{就消失。这种生命期为浏览器会话期的}^cookie^{被称为会话}^cookie^。

^会话^cookie^{一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把}^cookie^{保存到硬盘上，关闭后再次打开浏览器，这些}^cookie^{仍然有效直到超过设定的过期时间。存储在硬盘上的}^cookie^{可以在不同的浏览器进程间共享，比如两个}^IE^{窗口。而对于保存在内存里的}^cookie^{，不同的浏览器有不同的处理方式}

^session^机制。^session^机制是^{一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。}

^{当程序需要为某个客户端的请求创建一个}^session^{时，服务器首先检查这个客户端的请求里是否已包含了一个}^session^{标识（称为}^{session id}^{），如果已包含则说明以前已经为此客户端创建过}^session^{，服务器就按照}^{session id}^把这个^session^{检索出来使用（就是说每次想服务器发出请求，要是检索不到，都会新建一个}^session^{），如果客户端请求不包含}^{session id}^{，则为此客户端创建一个}^session^{并且生成一个与此}^session^相关联的^{session id}^，^{session id}^{的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个}^{session id}^{将被在本次响应中返回给客户端保存}⁽^{一般都保存在}^cookie^中，但是^cookie^中的^{session id}^{是保存在内存中还是硬盘中，就要看服务器了}⁾^但^cookie^{可以被人为的禁止，则必须有其他机制以便在}^cookie^{被禁止时仍然能够把}^{session id}^{传递回服务器。}⁽^{暂时先不讨论}^cookie^被禁止⁾

^误解^“^{只要关闭浏览器，}^session^就消失了^”

^在谈论^session^{机制的时候，常常听到这样一种误解}^“^{只要关闭浏览器，}^session^就消失了^”^{。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对}^session^{来说也是一样的，除非程序通知服务器删除一个}^session^{，否则服务器会一直保留，程序一般都是在用户做}^{log off}^{的时候发个指令去删除}^session^{。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭，之所以会有这种错觉，是大部分}^session^{机制都使用会话}^cookie^来保存^{session id}^{，而关闭浏览器后这个}^{session id}^{就消失了，再次连接服务器时也就无法找到原来的}^session^{。如果服务器设置的}^cookie^{被保存到硬盘上，或者使用某种手段改写浏览器发出的}^HTTP^{请求头，把原来的}^{session id}^{发送给服务器，则再次打开浏览器仍然能够找到原来的}^session^。

^{恰恰是由于关闭浏览器不会导致}^session^{被删除，迫使服务器为}^seesion^{设置了一个失效时间，当距离客户端上一次使用}^session^{的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把}^session^删除⁽^回收内存⁾^{以节省存储空间。}

^{大家都知道，}^http^{是无状态的协议，客户每次读取}^web^{页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，}^session^{就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过}^SessionID^{来区分不同的客户}^,session^是以^cookie^或^URL^{重写为基础的，默认使用}^cookie^{来实现，系统会创造一个名为}^JSESSIONID^的输出^cookie^{，我们叫做}^{session cookie,}^以区别^{persistent cookies,}^{也就是我们通常所说的}^cookie,^注意^{session cookie}^{是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的}^JSESSIONID^{，我们通常情是看不到}^JSESSIONID^{的，但是当我们把浏览器的}^cookie^禁止后，^web^{服务器会采用}^URL^{重写的方式传递}^Sessionid^{，我们就可以在地址栏看到}^{sessionid=KWJHUG6JJM65HS2K6}^{之类的字符串。}^{明白了原理，我们就可以很容易的分辨出}^{persistent cookies}^和^{session cookie}^{的区别了，网上那些关于两者安全性的讨论也就一目了然了，}^{session cookie}^{针对某一次会话而言，会话结束}^{session cookie}^{也就随着消失了，而}^{persistent cookie}^{只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到}^cookie^{欺骗以及针对}^cookie^{的跨站脚本***，自然不如}^{session cookie}^安全了。^通常^{session cookie}^{是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的}^sessionid^{，这样我们信息共享的目的就达不到了，此时我们可以先把}^sessionid^保存在^{persistent cookie}^{中，然后在新窗口中读出来，就可以得到上一个窗口}^SessionID^{了，这样通过}^{session cookie}^和^{persistent cookie}^{的结合我们就实现了跨窗口的}^{session tracking}^{（会话跟踪）。}^在一些^web^{开发的书中，往往只是简单的把}^Session^和^cookie^{作为两种并列的}^http^{传送信息的方式，}^{session cookies}^{位于服务器端，}^{persistent cookie}^{位于客户端，可是}^session^又是以^cookie^{为基础的，明白的两者之间的联系和区别，我们就不难选择合适的技术来开发}^{web service}^了。