• cookie & session


    cookie

    • 是什么?
      指某些网站为了辨别用户身份而存储在用户本地终端上的数据。(就是网站为了以后一段时间内还能确定你是谁 而存一些数据(cookie)在你本地的电脑上啦)

    • 分类
      1、cookie就总是保存在客户端中。
      按在客户端中的存储位置,可分为内存Cookie硬盘Cookie
      内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。
      硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。
      所以,按存在时间,可分为非持久Cookie持久Cookie

    • 用途
      背景:因为HTTP协议是无状态的,一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接,这严重阻碍了交互式Web应用程序的实现。

    场景1:
    在典型的网上购物场景中,户浏览了几个页面,买了一盒饼干和两饮料。最后结帐时,由于HTTP的无状态性,它就不知道你之前选了啥商品。。。

    那么,不通过额外的手段,服务器并不知道用户到底买了什么╮(╯▽╰)╭要跟踪该会话,必须引入一种机制。
    所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。就是需要的一种机制。
    服务器可以设置或读取Cookies中包含信息,借此 维护用户跟服务器会话中的状态。
    

    场景2:
    在刚才的购物场景中,当用户选购了第一项商品,服务器在向用户发送网页的同时,还发送了一段Cookie,记录着那项商品的信息。当用户访问另一个页面,浏览器会把Cookie发送给服务器,于是服务器知道他之前选购了什么。用户继续选购饮料,服务器就在原来那段Cookie里追加新的商品信息。结帐时,服务器读取发送来的Cookie就行。

    场景3:
    Cookie另一个典型的应用是当登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的Cookie到用户的硬盘上。第二次登录时,(如果该Cookie尚未到期)浏览器会发送该Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。

    • 缺陷
      1、Cookie会被附加在每个HTTP请求中,所以无形中增加了流量。

    2、由于在HTTP请求中的Cookie是明文传递的,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,所以安全性成问题。(除非用HTTPS)

    3、Cookie的大小限制在4KB左右,很多浏览器都限制一个站点最多保存20个cookie,对于复杂的存储需求来说是不够用的。

    session

    • 是什么
      客户端浏览器去访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这个记录的信息就是session啦。
      客户端浏览器再次访问这个服务器时,只需要从该Session中查找该客户的状态就可以确定这个用户了。

    • session对浏览器的要求
      虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。
      这是因为Session需要使用Cookie作为唯一识别标志(主键)。
      HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户。
      因此服务器向客户端浏览器发送一个名为 JSESSIONID 的 Cookie ,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。
      该Cookie为服务器自动生成的,它的maxAge属性一般为–1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。

    • 缺陷
      1、session会在一定时间内保存在服务器上。当访问增多,会比较占用服务器的性能

    对比cookie和session

    1、cookie数据存放在客户的浏览器上,session数据放在服务器上

    2、如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。

    3、考虑到安全应当使用session。考虑到减轻服务器性能方面,应当使用COOKIE。

    4、Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的。
    上面讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie。
    因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用。(。・_・)/~~~

    补充

    先说个有意思的场景来了解方便理解cookie、session~~

    我们都知道银行,银行的柜台每天要处理众多客户的存款/取款业务,可以有几种方案:

    凭借柜台职员的记忆,来为每位顾客办理业务。单凭职员的记忆力,要记到每位顾客的相貌,并迅速这个顾客当前的存款以及存取的次数,每次存取的金额是多少。-----------这种方式表示协议本身支持状态。(那么如果是http,就是没记忆的柜员,估计银行不要了她了(╥╯^╰╥),哈哈)
    
    使用存折的方式。柜台职员就把每个顾客的存款/取款的信息保存在这张折子,然后交给顾客保管,当顾客来存款/取款时,只要拿出存折,职员查看存折就对当前这位顾客的存款/取款信息一目了然。当然,你马上会想到,顾客修改这个信息怎么办?我们也有措施对每次存款/取款记录后面盖章。无盖章的就是假冒信息。但如果顾客是真的要伪造,当然印章也是可以伪造的。-------------这种方式就是在客户端端保持状态。(那么cookie就是类似存折啦,存折(cookie)可以造假,所以不是很安全嘞(=′ー`))
    
    使用银行卡的方式,发给每位银行用户一张银行卡,银行卡上有一个唯一的卡号,没有其它任何信息,当顾客来存款/取款时,拿出银行卡,银行把卡号输入的电脑,很快就显示当前用户的存/取款记录。这种方式的安全性就会有很大的提高。用户想要手脚只有攻破银行的服务器来修改自己的存/取款信息,这样做难度会很大。-----------------这种方式就是服务器端保持状态。(那么session就是银行电脑里的顾客个人信息及存取款信息啦,别人电脑里的就蛮难伪造了吧,session相比cookie就安全多啦o(*≧▽≦)ツ┏━┓)
    

    参考:
    虫师
    理解Cookie和Session机制

  • 相关阅读:
    DropDownList 禁止选择某一项
    C语言文件操作函数(ANSI)详解(二)
    c语言中break与continue的区别
    指针函数
    C语言文件操作函数(ANSI)详解(一)
    结构体指针
    ASCII\UNICODE编码的区别
    函数调用二维数组例子
    getchar()函数getch()函数区别
    C语言 二维数组做函数参数的几种情况
  • 原文地址:https://www.cnblogs.com/sameen/p/5401605.html
Copyright © 2020-2023  润新知