你细品【Session和Cookie的实现原理】
一. 概念
想清楚一个东西的原理,首先你要知道他是啥。
想实现服务器和客户端的交互需要建立一种连接,而连接就是一种技术,叫会话技术。
1. 会话:一次会话中包含多次请求和响应。
* 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止
2. 功能:在一次会话的范围内的多次请求间,共享数据
3. 方式:
1. 客户端会话技术:Cookie
2. 服务器端会话技术:Session
由此就引出了Cookie和Session的概念:
Cookie: 是客户端会话技术,将数据保存到客户端
Session:是服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。
二. 使用方法
1.Cookie:
* 使用步骤:
1. 创建Cookie对象,绑定数据
* new Cookie(String name, String value)
2. 发送Cookie对象
* response.addCookie(Cookie cookie)
3. 获取Cookie,拿到数据
* Cookie[] request.getCookies()
2.Session:
* 使用步骤:
1. 获取HttpSession对象:
HttpSession session = request.getSession();
2. 使用HttpSession对象:
Object getAttribute(String name)
void setAttribute(String name, Object value)
void removeAttribute(String name)
三. 实现原理
1.Cookie的实现原理
* 基于响应头set-cookie和请求头cookie实现
实现原理如下图:
当客户端浏览器第一次发送请求时,服务器的CookieDemo1接到请求,发送cookie来响应。这个响应的方式是 设置响应头为set-cookie,后面跟值,即 set-cookie:value 的响应头:键值对。当客户端收到后,他根据Http协议会识别他,将msg=hello这个cookie键值存到客户端。当下一次客户端请求CookieDemo2时,他会携带着之前存储的cookie。我们可以通过API获取cookie,实现cookie的一个共享功能。
2.Session的实现原理
* Session的实现是依赖于Cookie的。
当客户端第一次请求SessionDemo1时,服务器会去获取Session,没有Cookie,会在内存中创建一个新的Session对象,这个对象的id=2343546546234a234(随便起一个,反正是一个很长的编号),然后响应一个cookie给客户端,设置响应为
set-cookie:JSESSIONID=2343546546234a234 。客户端收到响应,将cookie携带保存起来。待下次客户端再次请求资源时,携带 cookie:JSESSIONID=2343546546234a234 给SessionDemo2(这个确实是一样的JSESSIONID,可以自己用火狐抓包看看)。SessionDemo2收到cookie后,在服务器内部查找是否有 id=2343546546234a234 Session对象,如果有就取出来,这样就能保证服务器在一次会话范围内多次获取的Seesion对象是同一个。
四. 两者的特点(异同点)
1.Cookie的特点和作用:
1. cookie存储数据在客户端浏览器
2. 浏览器对于单个cookie 的大小有限制(4kb) 以及 对同一个域名下的总cookie数量也有限制(20个)
* 作用:
1. cookie一般用于存出少量的不太敏感的数据
2. 在不登录的情况下,完成服务器对客户端的身份识别
2. Session的特点和作用:
1. session用于存储一次会话的多次请求的数据,存在服务器端
2. session可以存储任意类型,任意大小的数据
3. session与Cookie的区别:
1. session存储数据在服务器端,Cookie在客户端
2. session没有数据大小限制,Cookie有
3. session数据安全,Cookie相对于不安全