session和cookie是我们做web开发中常用到的两个对象,它们之间会不会有联系呢?
Cookie是什么?
Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web 应用程序都可以读取的信息。(
Cookie 会随每次HTTP请求一起通过Request Headers被传递服务器端
,排除js,css,image等静态文件,这个过程可以从fiddler或者ie自带的网络监控里面分析到,考虑性能的化可以从尽量减少cookie着手)
Cookie写入浏览器的过程
:我们可以使用如下代码在Asp.net项目中写一个Cookie 并发送到客户端的浏览器(为了简单我没有设置其它属性)。
HttpCookie cookie =
new
HttpCookie(
"RedisSessionId"
,
"string value"
);Response.Cookies.Add(cookie);
我们可以看到在服务器写的cookie,会通过
Response Headers
响应头Set-Cookie的方式写入到浏览器。
Session是什么?
Session我们可以使用它来方便地在服务端保存一些与会话相关的信息。比如常见的登录信息。
Session实现原理? HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器
。
所以服务器为了区分这个过程会通过一个sessionid来区分请求,而这个sessionid是怎么发送给服务端的呢?前面说了cookie会随每次请求发送到服务端,并且cookie相对用户是不可见的,用来保存这个sessionid是最好不过了,我们通过下面过程来验证一下。
Session[
"UserId"
] =
123
;
通过上图再次验证了session和cookie的关系,服务器产生了一次设置cookie的操作,这里的sessionid就是用来区分浏览器的。为了实验是区分浏览器的,可以实验在IE下进行登录,然后在用chrome打开相同页面,你会发现在chrome还是需要你登录的,原因是chrome这时没有sessionid。
httpOnly是表示这个cookie是不会在浏览器端通过js进行操作的,防止人为串改sessionid。
asp.net默认的sessionid的键值是ASP.NET_SessionId,可以在web.config里面修改这个默认配置
<
sessionState
mode
="InProc"
cookieName
="MySessionId"></
sessionState
>
服务器端Session读取?
服务器端是怎么读取session的值呢 ,Session["键值"]。那么问题来了,为什么在Defaule.aspx.cs文件里可以获取到这个Session对象,这个Session对象又是什么时候被初始化的呢。
额外:
1.domain表示的是cookie所在的域
,默认为请求的地址,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。
2.path表示cookie所在的目录
,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/test/,/test/cd/,/test/dd/,现设一个cookie1的path为/test/,cookie2的path为/test/cd/,那么test下的所有页面都可以访问到cookie1,而/test/和/test/dd/的子页面不能访问cookie2。这是因为cookie能让其path路径下的页面访问。
Cookie cookie1 = new Cookie("name55", "value55");
cookie1.setMaxAge(60*60);
cookie1.setPath("/service");
response.addCookie(cookie1);
cookie1.setMaxAge(60*60);
cookie1.setPath("/service");
response.addCookie(cookie1);
下次访问时,如果访问路径不是/service,则不会发送上述cookie,访问路径是才会发送该cookie到服务端
3.浏览器会将domain和path都相同的cookie保存在一个文件里,cookie间用*隔开。
概括:
request.getSession(true):若存在会话则返回该会话,否则新建一个会话。
request.getSession(false):若存在会话则返回该会话,否则返回NULL
当向Session中存取登录信息时,一般建议:HttpSession session =request.getSession();
当从Session中获取登录信息时,一般建议:HttpSession session =request.getSession(false);
180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
