http协议中session,cookie简单知识点整理

一、释义：是对HTTP协议无状态特点的补偿

场景：客户端多次发送网络请求，HTTP无状态的特点导致服务端无法知道是否是同一个用户

Cookie：

1、什么是CooKie： 主要是用来记录用户状态，区分用户；CooKie的状态是保存在客户端的

2、CooKie在客户端与服务端是如何运作的： 客户端向服务端发送请求，服务端会生成一个cookie，通过返回报文返回给客户端，客户端会保存下来。

• 客户端发送cookie在http请求报文的Cookie首部字段中
• 服务器端设置http响应报文的Set-Cookie首部字段

3、如何修改CooKie呢?

• 新cookie覆盖旧cookie
• 覆盖规则：name、path、domin等需要与原cookie一致，就是键值对的Key

4、如何删除CooKie呢?

• 新cookie覆盖旧cookie
• 覆盖规则：name、path、domin等需要与原cookie一致，就是键值对的Key
• 设置cookie的expires=过去的一个时间点，或者maxAge = 0

4、如何保证CooKie的安全呢?

• 对cookie进行加密处理
• 只在https上携带Cookie
• 设置Cookie为httpOnly，防止跨站脚本攻击

Session：Session也是用来记录用户状态的，区分用户的；状态存放在服务端

Session工作流程

1

1、客户端发送一个http请求报文，服务端收到请求报文之后，服务端会记录用户状态，同时生成一个SessionID

2、服务端响应客户端，把Cookie和SessionID回传给客户端

3、后续客户端在请求的时候把Cookie和SessionID带上

4、服务端就可以通过SessionID来识别用户

Session/Cookie的区别

• Session 在服务端存放 Cookie在客户端存放
• Session需要依赖Cookie来完成