1. cookie
Cookie技术是客户端的解决方案,Cookie是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。
Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
限制:
cookie存储一次后,换浏览器后要重新存储,cookie在性质上是绑定在特定的域名下的,当设定了一个cookie后,在给创建他的域名发送请求时,都会包含这个cookie。
由于cookie是存储在客户端计算机上的,还加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间。
- 限制1:每个域的cookie**总数**是有限的,浏览器之间各有不同 ,20~50个。当超出个数限制时,浏览器就会清除以前设置的cookie。
- 限制2:对于cookie的尺寸大小也有限制,一般大约4KB左右。当尝试创建超过最大尺寸的cookie时,那么该cookie会被悄无声息的丢掉。
设置cookie
在浏览器端创建cookie:
用户可以在浏览器端document.cookie(注意,这个方法只能获取非 HttpOnly 类型的cookie)创建cookie会获取cookie,在下一次访问该站点时,cookie的名值对就会随HTTP请求发送至服务器。用户也可在浏览器端获得cookie.
在服务器端创建cookie:
通过服务器对HTTP请求设置Set-Cookie字段,服务器可以将需要客户端保存的会话信息放在该字段内,客户端就会存储在这样的会话信息,并在以后的请求中通过HTTP头将信息发回服务器。
cookie的构成
构成:
1. 名称:一个为已确定cookie的名称。要径URL编码。
2. 值:存储在cook中的字符串值。要径URL编码。
3. 域:cookie对于那个域是有效的。
4. 路径:对于指定域中的那个路径,应该向服务器发送cookie。
5. 失效时间:表示cookie何时应该被删除。默认情况下,浏览器会话结束时即将所有cookie删除。
6. 安全标志:指定后,cookie只有在使用SSL连接的时候才发送到服务器。
存取方法:
//存放cookie键值对 var nickname = "xxx'"; var openid = "123456"; setCookie('nickname', nickname, 24); setCookie('openid', openid, 24); //获取cookie值 unescape(getCookie("nickname")) //若有中文 getCookie("openid") //无中文,可以不用加unescape /* * 增加浏览器cookie键值对、时长 * @name 缓存的key * @value 缓存的value * @hours 缓存时长 * */ function setCookie(name,value,hours){ var d = new Date(); d.setTime(d.getTime() + hours * 3600 * 1000); document.cookie = name + '=' + escape(value) + '; expires=' + d.toGMTString(); } /* * 获取浏览器cookie键值对 * @name 缓存的key * */ function getCookie(name){ var arr = document.cookie.split('; '); for(var i = 0; i < arr.length; i++){ var temp = arr[i].split('='); if(temp[0] == name){ return temp[1]; } } return ''; } /* * 删除浏览器cookie键值对 * @name 缓存的key * */ function removeCookie(name){ var d = new Date(); d.setTime(0); document.cookie = name + '=1; expires=' + d.toGMTString(); }
2. session
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
3. cookie 和session 的区别:
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、所以建议:
将登陆信息等重要信息存放为SESSION
其他信息如果需要保留,可以放在COOKIE中
Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用(注意:有些资料说ASP解决这个问题,当浏览器的cookie被禁掉,服务端的session任然可以正常使用,ASP我没试验过,但是对于网络上很多用php和jsp编写的网站,我发现禁掉cookie,网站的session都无法正常的访问)。
参考链接:
https://blog.csdn.net/zhoujie_zhoujie/article/details/56844764
https://www.cnblogs.com/andy-zhou/p/5360107.html#_caption_0