Session与Cookie

2018-08-04 本文已影响8人程序猿蛋蛋哥

概念理解

1. 无状态HTTP协议

协议是指两台计算机之间进行通信所必须共同遵守的规定或规则，HTTP（超文本传输协议）是一种通信协议，它允许将HTML（超文本标记语言）文档从WEB服务器传送到客户端浏览器。

HTTP协议是无状态协议，一旦数据交换完毕，客户端与服务器的连接就会关闭，再次交换数据需要建立新的连接，这就意味着服务器无法从连接上跟踪会话。

2. 会话跟踪

会话指用户登录网站后的一系列动作。比如：浏览商品添加到购物车并购买。

会话跟踪是WEB程序中常用的技术，用来跟踪用户的整个会话，常用的技术是：Cookie和Session。

Cookie通过客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

3. Session

session是一种记录客户状态的机制，session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是session。 客户端浏览器再次访问时只需要从该session中查找该客户的状态就可以了。

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含了sessionId：

如果已包含，则说明以前已经为此客户端创建过session，服务器就按照sessionId把这个session检索出来使用（检索不到，会新建一个）
如果客户端请求不包含sessionId，则为此客户端创建一个session并且生成一个与此session相关联的sessionId，sessionId的值是一个既不会重复，又不容易被找到规律以仿造的字符串，这个sessionId将被在本次响应中返回给客户端保存。
如果客户端禁用了cookie，通常有两种方法实现session而不依赖cookie。

<1>URL重写，将是把sessionId直接附加在URL路径后面。

<2>表单隐藏字段，就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把sessionId传递回服务器。

4. Cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份

举例：
A用户买了一件商品放入购物车内，当再次购买商品时，服务器已经无法判断该购买行为是属于A用户的会话还是B用户的会话了，怎么办？

解决办法:

给客户端们颁发一个通行证，每人一个，无论谁访问都必须携带自己的通行证，这样服务器就能从通行证上确定客户身份了，这就是Cookie的工作原理。

cookie实际上是一小段的文本信息，客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个cookie，客户端浏览器会把cookie保存起来，当浏览器再次请求网站时，浏览器把请求的网址连同该cookie一同提交给服务器，服务器检查该cookie，以此来辨认用户状态，服务器还可以根据需要修改cookie的内容。

cookie分为两大类：

会话cookie：不设置过期时间，浏览器关了，会话cookie就消失了，保存在内存中。
持久化cookie：设置了过期时间，持久化存储在客户端硬盘中。

cookie具有不可跨域名性： 就是说，浏览器访问百度不会带上谷歌的cookie。

查看某个网站颁发的Cookie(需要连上网才行)：在浏览器地址栏输入：javascript:alert(document.cookie)

session与cookie的区别

session是存储在服务端的，客户端不知道其中的信息，cookie是存储在客户端的，服务端可以知道其中的信息，所以session的安全性要高于cookie。
session中保存的是对象，cookie中保存的是字符串。
session不能区分路径，同一个用户在访问一个网站期间，所有的session在任何一个地方都可以访问到；而cookie中如果设置了路径参数，那么同一个网站中不同路径下的cookie相互是访问不到的。
我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的，所以session里的东西不断增加会增加服务器的负担，我们会把一些重要的东西放在session里，不太重要的放在客户端cookie里。

session与cookie的联系

session是需要借助cookie才能正常工作的，如果客户端完全禁止cookie，session将失效。