Web技术3：Cookie与Session

Session与Cookie

Session与Cookie的作用都是为了保持访问用户与后端服务器的交互状态。各有优点也各有缺点。

Cokkie

当一个用户通过HTTP访问一个服务器时，这个服务器会讲一些key/value键值对返回给客户端浏览器，并给这些数据加行一些限制条件，在条件符合时这个用户下次访问这个服务器时，数据又被完整地呆会给服务器。这样服务器就知道这次请求的一些特殊的信息了

Cookie（复数形态：Cookies），是指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。

Cookie是由服务端生成的，发送给客户端（通常是浏览器）的。Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie：

Session

前面介绍了Cookie可以让服务端程序跟踪每个客户端的访问，但是每次客户端的访问都必须回传这些Cookie，如果Cookie很多，则无形的增加了客户端与服务端的数据传输量，而Session的出现正是为了解决这个问题

同一个客户端每次与服务点交互时，不需要每次都传回所有的Cookie值，而你只要传回一个ID，这个ID是客户端第一次访问服务器时生成的，而且每个客户端是唯一的。这样每个客户端就有了一个唯一ID，客户端只要传回这个ID就可以了，这个ID通常是NAME为JSESSIONID的一个Cookie

Cookie工作原理

1. 创建Cookie

当用户第一次浏览某个使用Cookie的网站时，该网站的服务器就进行如下步骤

• 该用户生成一个唯一的识别码，Cookie id，创建一个Cookie对象
• 默认情况下是一个会话级别的cookie，存储在浏览器的内存中，用户退出浏览器之后就被删除了，如果网站希望浏览器将该Cookie存储在磁盘上，则需要设置最大时效（maxAge），并给出一个以秒为单位的时间（将最大时效设为0则是命令浏览器删除该Cookie）
• 将Cookie放入到HTTP响应报头，将COokie插入带一个Set-Cookie HTTP请求报头中
• 发送该HTTP响应报头

2. 设置存储Cookie

• 浏览器收到该响应报文后，根据报文头里的Set-Cookie特殊的知识，生成相应的Cookie，保存在客户端。该Cookie里面记录着用户当前的信息。

3. 发送Cookie

• 当用户再次访问该网站时，浏览器首先检查所有存储的Cookies，如果某个存在该网站的Cookie（即该Cookie所声明的作用范围大于等于将要请求的资源），则把该cookie附在请求资源的HTTP请求头上发送给服务器。

4. 读取Cookie

• 服务器接收到用户的HTTP请求报文之后，从报文头获取到该用户的Cookie，从里面找到所需要的东西。

Cookie作用与缺点

1. 记住密码，下次自动登录
2. 购物车功能
3. 记录用户浏览数据，广告商品推送

缺点

1. Cookie会被附加在每个HTTP请求中，也会有大小，可以通过压缩Cookie限制一下，但是还是无形中增加了流量。
2. 由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题。（HTTPS可以避免）
3. 当前浏览器对Cookie的大小限制基本都在50条左右。对于复杂的存储需求来说是不够用的

Session工作原理

1. 创建Session

• 当用户访问到一个服务器，如果服务器启用Session，服务器就要为该用户创建一个SESSION，在创建这个SESSION的时候，服务器首先检查这个用户发来的请求里是否包含了一个SESSION ID，如果包含了一个SESSION ID则说明之前该用户已经登陆过并为此用户创建过SESSION，那服务器就按照这个SESSION ID把这个SESSION在服务器的内存中查找出来（如果查找不到，就有可能为他新创建一个），如果客户端请求里不包含有SESSION ID，则为该客户端创建一个SESSION并生成一个与此SESSION相关的SESSION ID。这个SESSION ID是唯一的、不重复的、不容易找到规律的字符串，这个SESSION ID将被在本次响应中返回到客户端保存，而保存这个SESSION ID的正是COOKIE，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。

1. Session作用

• Session的根本作用就是在服务端存储用户和服务器会话的一些信息。典型的应用有：

  1、判断用户是否登录

  2、购物车功能

Cookie和Session的区别

1. 存放位置不同，Cookie存放在客户端（浏览器），session存放在服务器端
2. 存取方式不同， Cookie中只能保管ASCII字符串，假如需求存取Unicode字符或者二进制数据，需求先进行编码。Cookie中也不能直接存取Java对象。若要存储略微复杂的信息，运用Cookie是比较艰难的。而Session中能够存取任何类型的数据，包括而不限于String、Integer、List、Map等。Session中也能够直接保管Java Bean乃至任何Java类，对象等，运用起来十分便当。能够把Session看做是一个Java容器类
3. 安全性，`Cookie存储在浏览器中，对客户端是可见的，客户端的一些程序可能会窥探、复制以至修正Cookie中的内容。而Session存储在服务器上，对客户端是透明的，不存在敏感信息泄露的风险。 假如选用Cookie，比较好的方法是，敏感的信息如账号密码等尽量不要写到Cookie中。最好是像Google、Baidu那样将Cookie信息加密，提交到服务器后再进行解密，保证Cookie中的信息只要本人能读得懂。而假如选择Session就省事多了，反正是放在服务器上，Session里任何隐私都能够有效的保护。
4. 跨域支持，Cookie是有域名限制的，也就是在一个域名下的Cookie不能被另一个域名访问，不同的子域的Cookie是可以共享，比如a.com.index1和a.com.index2是共享的，但是a.com和b.com是不共享的。Session跨子域需要把JESSIONID写进共享Cookie。也可以在分布式系统中，进行设置session分布式缓存：
   • 可以讲每台机器的session同步到一个分布式缓存中，那么用户通过其他服务器再次访问这个应用系统时，就可以拿到session信息了，对于一些重要的session还可以在Cookie中，如果分布式缓存出现问题也不会影响关键业务的运行

本文部分内容来自《深入分析Java Web技术内幕》和https://blog.csdn.net/guoweimelon/article/details/50886092

最后

以上就是缓慢鸡最近收集整理的关于Web技术3：Cookie与Session的全部内容，更多相关Web技术3内容请搜索靠谱客的其他文章。