0. 引子，我們?yōu)槭裁匆猚ookie和session

因?yàn)閔ttp請求是無狀態(tài)的（不能記錄用戶的登錄狀態(tài)等），所以需要某種機(jī)制來保存用戶的登錄狀態(tài)等信息，在下次訪問web服務(wù)的時(shí)候，不用再次校驗(yàn)是否登錄等狀態(tài)，session機(jī)制和cookie機(jī)制分別是在服務(wù)器端和瀏覽器端的解決方案。

1.關(guān)于cookie

1.1  什么是cookie

cookie，原意餅干。用來在瀏覽器端存儲(chǔ)用戶的狀態(tài)信息，然后在訪問后端的時(shí)候?qū)⑦@部分信息帶回到后端。

cookie的內(nèi)容主要包括：名字，值，過期時(shí)間，路徑和域

1.2 cookie的分類

會(huì)話cookie  不設(shè)置過期時(shí)間的cookie 保存在瀏覽器的內(nèi)存中，關(guān)閉瀏覽器，cookie便被銷毀。（常常被用作session）

普通cookie  設(shè)置了過期時(shí)間   保存在硬盤上

1.3怎么應(yīng)用

發(fā)起請求時(shí)：瀏覽器檢查所有存儲(chǔ)的cookie，如果某個(gè)cookie所聲明的作用范圍（由路徑和域決定）大于等于將要請求的資源所在的位置，則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務(wù)器。

處理請求時(shí)：在服務(wù)器端， 一般會(huì)對請求頭中帶的cookie信息做檢查（比如說登錄檢查），如果檢查通過，才能進(jìn)行實(shí)際的業(yè)務(wù)處理。

如果校驗(yàn)不通過，例如沒有找到cookie或者cookie信息不正確（可能是偽造），跳轉(zhuǎn)讓其登錄，然后登錄完成之后，在響應(yīng)中返回cookie信息，瀏覽器會(huì)根據(jù)返回的cookie信息，保存在硬盤或者內(nèi)存中供下次使用。、

2.關(guān)于session

2.1什么是session

session 用來在服務(wù)器端保存用戶的狀態(tài)信息。

2.2怎么使用

瀏覽器發(fā)起請求時(shí)：服務(wù)器首先會(huì)讀取請求頭中session信息。如果沒有找到session信息或者本地檢索不到此sessionid，如果沒有就新生成一個(gè)sessionid，存儲(chǔ)到服務(wù)器硬盤或者memcache中。

瀏覽器接收到響應(yīng)：會(huì)將這個(gè)返回的sessionID在本地內(nèi)存也保存一份，供下一次請求使用。session保存在本地的其中一種實(shí)現(xiàn)方案是保存信息在cookie上，但是實(shí)際上cookie并不是session保存唯一解決方案，使用url重寫的方式也可（把session id直接附加在URL路徑的后面 ）。

3.cookie和sessiond的主要區(qū)別

1、保存位置稍有區(qū)別

cookie數(shù)據(jù)存放在客戶的瀏覽器上，服務(wù)器端不用保存。session數(shù)據(jù)放在服務(wù)器上，本地內(nèi)存也有一份。

2、安全性不同

cookie安全性不如session。因?yàn)槠胀╟ookie保存在本地硬盤上，黑客可以偽造url等方式發(fā)起xss攻擊，獲取本地硬盤保存狀態(tài)的cookie，進(jìn)而竊取用戶的敏感信息。

session則不同，只有在用戶登錄此網(wǎng)站時(shí)發(fā)起xss攻擊才能獲取session信息，關(guān)閉瀏覽器之后，session即被銷毀，安全性較cookie要好

3.跨域支持上的不同

Cookie支持跨域名訪問，例如將domain屬性設(shè)置為“.biaodianfu.com”，則以“.biaodianfu.com”為后綴的一切域名均能夠訪問該Cookie。跨域名Cookie如今被普遍用在網(wǎng)絡(luò)中，例如Google、Baidu、Sina等。而Session則不會(huì)支持跨域名訪問。Session僅在他所在的域名內(nèi)有效。

4.服務(wù)器壓力的不同

Session是保管在服務(wù)器端的，每個(gè)用戶都會(huì)產(chǎn)生一個(gè)Session。假如并發(fā)訪問的用戶十分多，會(huì)產(chǎn)生十分多的Session，耗費(fèi)大量的內(nèi)存。因而像Google、Baidu、Sina這樣并發(fā)訪問量極高的網(wǎng)站，是不太可能運(yùn)用Session來追蹤客戶會(huì)話的。考慮到減輕服務(wù)器性能方面，應(yīng)當(dāng)使用COOKIE。

5. 存取方式的不同

Cookie中只能保管ASCII字符串，假如需求存取Unicode字符或者二進(jìn)制數(shù)據(jù)，需求先進(jìn)行編碼。Cookie中也不能直接存取Java對象。若要存儲(chǔ)略微復(fù)雜的信息，運(yùn)用Cookie是比擬艱難的。

而Session中能夠存取任何類型的數(shù)據(jù)，包括而不限于String、Integer、List、Map等。Session中也能夠直接保管Java Bean乃至任何Java類，對象等，運(yùn)用起來十分便當(dāng)。能夠把Session看做是一個(gè)Java容器類。

6.cookie的保存內(nèi)容大小有限制

單個(gè)cookie保存的數(shù)據(jù)不能超過4K，很多瀏覽器都限制一個(gè)站點(diǎn)最多保存20個(gè)cookie。

以上這篇關(guān)于session和cookie的簡單理解就是小編分享給大家的全部內(nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持武林網(wǎng)。