Cookie和Session的区别
1, 什么是Cookie和Session?
我们知道,HTTP是一种无连接无状态的协议,所以浏览器在每一次请求服务器后服务器都不能记住本次请求的状态,导致每一次请求都是独立的。为了使web能产生一些动态信息,就需要记录状态信息,而cookie和session就是为了解决http协议的无状态问题而产生。
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份.
两种会话技术
1) 通过 Cookie 技术,浏览器端的会话技术
2) 通过 Session 技术,服务器端的会话技术
2,cookie机制
我们在淘宝买东西时,通常会先将看中的多个物品放入购物车,最后再进行结账。但在web中使用的是无状态的http协议,如果不对用户的信息进行跟踪,那么在你第一次将物品加入购物车后,链接断开,在第二次加入购物车时,就需要重新输入账户密码进行登录。因为此时服务器已经无法判断加入购物车的行为是否还是原来的用户。cookie就是在类似这样的场景中起到跟踪会话作用的机制。
cookie实际上是一小段文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个cookie,客户端浏览器会把cookie保存起来,当浏览器再次请求访问该网站时,浏览器把请求的网站连同该cookie一同提交给服务器,服务器检查该cookie,以此来辨认用户状态。
这里写图片描述
简单来说,cookie的工作原理可总结如下:
1) 第一次浏览器访问服务器的时候,没有 Cookie。
2) 由服务器创建 Cookie,通过响应头的方式 Set-Cookie 发送给浏览器。
3) 浏览器接收到服务器发送过来 Cookie 信息,存储在本地硬盘上。
4) 下次再访问服务器的时候上,将本地保存 Cookie 信息发送给服务器。
5) 服务器可以再收到 Cookie 信息,读取并且进行操作
3, Session机制
当程序需要为某个客户端的请求创建session时,服务器会实现检查这个客户端的请求里是否已包含了一个session标识符(session id),如果已包含了则说明服务器以前已经为此客户端创建过session,服务器就会按照这个session id把它的session检索出来使用(检索不到就会新建一个)。
如果客户端请求不包含session id,服务器机会为此客户端新建一个session并且生成与此session相关联的session id,将这个session id在本次响应中返回给客户端保存,保存的方式可采用cookie。
会话的原理分析:
简单来说,session机制可总结如下:
1) 第 1 次访问服务器没有会话,调用 getSession()创建一个会话,分配了一个会话 ID
2) 服务器将会话 ID 以 Cookie 的方式发送给浏览器,Cookie 的名字叫 JSESSIONID
3) 浏览器得到会话 ID,下次访问的时候将会话 ID 以 Cookie 的方式发送给服务器
4) 服务器得到会话 ID,用来区分不同的客户端。
Session 技术的特点:
1) 服务器端的会话技术,数据是保存在服务器的内存中。
2) 每个会话对应一个用户
3) 会话与会话之间数据不能共享
经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。
Cookie与Session都能够进行会话跟踪,但是完成的原理不太一样。普通状况下二者均能够满足需求,但有时分不能够运用Cookie,有时分不能够运用Session。下面经过比拟阐明二者的特性以及适用的场所。
4. cookie和session的区别
4.1 存取方式(数据结构)的不同
1) Cookie 中数据类型键和值必须是字符串类型
2) Session 键是字符串类型,值是 Object 类型,存任何类型。
Cookie中只能保管ASCII字符串,假如需求存取Unicode字符或者二进制数据,需求先进行编码。Cookie中也不能直接存取Java对象。若要存储略微复杂的信息,运用Cookie是比拟艰难的。
而Session中能够存取任何类型的数据,包括而不限于String、Integer、List、Map等。Session中也能够直接保管Java Bean乃至任何Java类,对象等,运用起来十分便当。能够把Session看做是一个Java容器类。
4.2 隐私策略的不同
1) Cookie 的数据保存在客户端, 可见, 易泄露
2) Session 数据是保存在服务端,安全性高
Cookie存储在客户端阅读器中,对客户端是可见的,客户端的一些程序可能会窥探、复制以至修正Cookie中的内容。而Session存储在服务器上,对客户端是不可见的,不存在敏感信息泄露的风险。
假如选用Cookie,比较好的方法是,敏感的信息如账号密码等尽量不要写到Cookie中。
最好是像Google、Baidu那样将Cookie信息加密,提交到服务器后再进行解密,保证Cookie中的信息只要本人能读得懂。而假如选择Session就省事多了,反正是放在服务器上,Session里任何隐私都能够有效的保护。
4.3 服务器压力的不同
1) Session是保管在服务器端的,每个用户都会产生一个Session, 并发压力大
2) Cookie保管在客户端,不占用服务器资源
Session是保管在服务器端的,每个用户都会产生一个Session, 并发压力大。假如并发访问的用户十分多,会产生十分多的Session,耗费大量的内存。因而像Google、Baidu、Sina这样并发访问量极高的网站,是不太可能运用Session来追踪客户会话的。
Cookie保管在客户端,不占用服务器资源。假如并发阅读的用户十分多,Cookie是很好的选择。关于Google、Baidu、Sina来说,Cookie或许是唯一的选择。
4.4 有效期上的不同
1) Cookie 的过期时间 : 默认的情况下,浏览器关闭 Cookie 过期
2) Session 默认是 30 分钟
| Cookie 对象方法 | 说明 |
|---|---|
| void setMaxAge(int expiry) | 设置过期的时间,以秒为单位 |
| 设置为正数:以秒为单位 | |
| 设置为 0:删除 Cookie | |
| 设置为负数:浏览器关闭就过期 |
Session 对象的方法 session.setMaxInactiveInterval( 秒) 设置会话最大非活动时间间隔
使用过Google的人都晓得,假如登录过Google,则Google的登录信息长期有效。用户不用每次访问都重新登录,Google会持久地记载该用户的登录信息。要到达这种效果,运用Cookie会是比较好的选择。只需要设置Cookie的过期时间属性为一个很大很大的数字。
由于Session依赖于名为JSESSIONID的Cookie,而Cookie JSESSIONID的过期时间默许为–1,只需关闭了阅读器该Session就会失效,因而Session不能完成信息永世有效的效果。
运用URL地址重写也不能完成。而且假如设置Session的超时时间过长,服务器累计的Session就会越多,越容易招致内存溢出。
问:如果浏览器关闭,服务器上的会话信息是否还存在?
答:服务器上的信息还是存在的,会话域也是有过期的时间的。一直到会话过期才会消失。问: 为什么浏览器关闭以后不能再次得到之前会话域中的信息?
因为浏览器关闭以后 Cookie 过期了,JSESSIONID 没有了,下次得到的是另一个会话 ID,也就不能得到之前的会话域中的数据。
4.5 跨域支持上的不同
1) Cookie可以跨二级域名来访问
2) Session不支持跨域名访问
Cookie可以跨二级域名来访问,这个很好理解,例如你在www.cmj.com所在的web应用程序创建了一个cookie,在cs.cmj.com这样的二级域名对应的应用程序中可以访问,当然你在创建cookie的时候需要指出Domain属性为cmj.com。
跨域名Cookie如今被普遍用在网络中,例如Google、Baidu、Sina等。
而Session则不会支持跨域名访问。Session仅在他所在的域名内有效。
总之
仅运用Cookie或者仅运用Session可能完成不了理想的效果。这时应该尝试一下同时运用Cookie与Session。Cookie与Session的搭配运用在实践项目中会完成很多意想不到的效果。
参考文献:
https://blog.csdn.net/ChaseRaod/article/details/77745726