Cookie
cookie是由服务器端创建(new Cookie()),存储在客户端浏览器上的文件,用来跟踪客户端和服务器之间的会话,cookie的安全性能较低,并且存储的最大数据不能超过4k。不支持跨一级域名访问,但是可以跨二级域名访问。
分为状态cookie和持久化cookie,状态cookie会在用户关闭浏览器时自动销毁。持久化cookie存储在用户硬盘中,设置的失效时间,到达时间后,系统会自动删除该文件,导致持久化cookie失效。
Cookie使用
Cookie 对于存储内容是基于明文的方式存储的,所以安全性很低。不要在 Cookie 中存 放敏感数据。在数据存储时,虽然在 Servlet4.0 中 Cookie 支持中文,但是建议对 Cookie 中 存放的内容做编码处理,也可提高安全性。
Session
session时在服务器创建并存储在服务器上的,创建时间取决于我们什么时候调用getSession()或getSession(true)方法。安全性能较高。
原则上session的存储大小不受限制,但是因为会占用服务器内存,如果session数量级过大,对服务器性能有影响。
session的销毁形式有两种,调用invalidate()方法和设置失效时间,
Session 使用
HttpSession 对象是保存在服务端的,所以安全性较高。我们可以在 HttpSession 对象中 存储数据,但是由于 HttpSession 对象的生命周期不固定,所以不建议存放业务数据。一般 情况下我们只是存放用户登录信息。
cookie和session的关系:
session对象创建后,会生成一个sessionID放到cookie中,客户端每次向服务器端发出请求时,会把所有的请求信息和sessionID放到cookies中发送到服务器端,服务器端通过解析cookie对象,如果包含sessionID,服务器端会将和sessionID向对应的session取出。如果没有对应的session ID,服务器端会重新创建一个session对象。因为cookie记录着sessionID,如果cookie被销毁,服务器端对应的session将失效。因为cookie中的sessioID被销毁,客户端下次请求时就不再是之前的sessionID