为什么需要session和cookie
源于web系统的发展和变迁。
web1.0:强调的是资源共享。
http协议是一种无状态的协议。
web2.0:强调的是交互
交互意味着是有多步操作,请求和请求之间是有依赖存在的。
引入了session和cookie机制是来实现状态的记录。
session和cookie的特征
session和cookie都是由服务器生成的,都是用来存储特定的值(键值对应)。
session是存储在服务器的,而cookie是会返回给客户端的。
形式:响应信息头:set-cookie
一般来说,SessionID会以类似于cookie的方式返回给客户端。
sessionID是服务器用来识别、操作存储session值的对象的。
一般来说,在服务器端,session的存储方式有文件方式、数据库方式,sessionID就是用来识别这个文件的(文件名相关)、识别数据库的某一条记录(记录的主键id)。
sessionID并不是session值,是一把钥匙。
客户端(浏览器)在发送请求的时候,会自动将存活、可用的cookie封装在请求头中和请求一起发送。
形式:请求信息头:Cookie
cookie和session都是有其生命周期的。
cookie的生命周期,一般来说,受两个因素的影响:
cookie自身的存活时间:是服务器生成cookie时设定的。
客户端是否保留了cookie。客户端是否保留cookie,只对客户端自身有影响,对其它封包工具是没有影响的。cookie相当于一张优惠券,只要没过期,别人捡到了也能用。
session的生命周期,一般来说,也受两个因素的影响:
服务器对于session对象的保存的最大时间的设置。
客户端进程是否关闭。因为sessionID是写在内存里的,与客户端进程绑定,没有文件存在客户端。客户端进程是否关闭,只对客户端自身有影响,对其它封包工具是没有影响的。
cookie和session的作用域:
一般都是默认的根域。
为什么session比cookie安全
cookie是存储在客户端的,是可见的,是可以改变的。
session是存储在服务器端的,是不可见的,是不可改变的,客户端只能操作sessionID。