1、cookie数据存放在客户端上,session数据放在服务器上。
2、cookie数据因为是存放在客户端上的,所以不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
考虑到安全应当使用session。
3、session是有时效性的,一般是跟着tomcat,一般为30分钟;但是并不是每隔30分钟进行刷新一次,一般是有进行一次动作时,就自动将时间后移30分钟
Cookie一般是没有过期时间,一般是客户端,浏览器上我们会进行的清除cookie的操作
例如我们的登入页面,第一次进行访问时,会在cookie中保存我们对应的sessionid,对应的账号相关信息存放在session中,当我们后续进行添加、删除等操作请求时,不需要每次都输入账号密码。都会通过在cookie中的sessionid到服务器中找到对应的session是否过期,如果有过期的话,就会跳转至登入页面;如果session未过期,则直接可以进行
怎么使用:
1、一般我们会在登入页面进行session的数据存储
@PostMapping("/loading")//页面登入
public String loadingt(@RequestBody String name ,HttpServletRequest req,HttpServletResponse res) {
req.getSession().setAttribute("student", "xiaoming");
System.out.println(req.getSession().getId());
System.out.println(name);
return null;
}
通过req.getSession().setAttribute("student", "xiaoming");把相应的对象信息在session进行存放,return的时候,会将sessionid写到cookie中,并且带上域名信息
2、而在其他的操作界面,例如增加、删除、查询等借接口则通过拦截器进行判断session是否为空(除了登入接口),如果不为空的情况下,则可直接进行操作;如果为空或者是session超过时效,则直接跳转至登入接口进行重新登入
3、如果用户的账号密码等登入信息修改时,需要进行同步信息更新至服务端session
只有当两个domain一样的情况下,对应的sessionid才会通过header传过去,这个时候的sessionid才会一样
如果是不一样的域名,sessionid是不一样:例如localhost与127.0.0.1,虽然都是对本机的访问,但是他所返回的sessionid是不一样的
session过期时间设置:
一般情况下,如果我们未设置session的过期时间,则根据tomcat的过期时间走,过期时间为半个小时;
我们也可以进行手动的设置session的过期时间,需要在web.xml中进行对应的配置:
<!-- 设置session过期时间:1分钟 -->
<session-config>
<session-timeout>1</session-timeout>
</session-config>
session-timeout:过期时间按照分钟计算