关于Cookie和session的区别、Cookie与session的详解
Cookie与session的区别
直接总结一下Cookie与session的区别,有以下五点:
- 存储的地方:Cookie存储在浏览器或者本地;session只能存储在服务器。
- 存储的对象:Cookie只能存储String类型对象;session可以存储任意Java对象。
- 安全性:Cookie不是很安全,别人可以分析存在本地的Cookie并进行Cookie欺骗,有一定安全隐患;session安全性更高。
- 性能:session保存在服务器上,占用服务器性能。当访问增多时,增加服务器的压力。
- 大小限制:单个Cookie保存的数据不能超过4k,多数浏览器限制一个站点不能超过20个cookie;session没有大小限制,可存储数据的大小与服务器的内存有关。
关于Cookie
Cookie出现的必要性
因为Web传输是通过HTTP协议,而HTTP协议是无状态协议。
无状态协议即客户端是不保存什么数据的,是无记忆的。这就导致在后续操作如若需要前面用到的数据,又需要重新传输,则很影响使用的性能。
所以Cookie出现了。
Cookie的原理
原理描述——Cookie相当于服务器端发放给客户端用户的一个身份证。
- 当用户第一次登陆时,服务器端返回一些数据即Cookie到客户端浏览器,接着浏览器将Cookie保存下来。而Cookie有两种存储方式:一是浏览器把Cookie存到内存中,二是保存在硬盘中。
- 当用户发送第二次HTTP请求时,直接把上次HTTP请求返回且保存到浏览器/本地的Cookie交给服务器端。那么服务器端通过Cookie就能判断用户的身份。
Cookie的生命周期
Cookie在生成的时候会指定一个Expire值,即Cookie的生命周期。超出生命周期后,Cookie则被清除而无效。
在一些浏览器中给,会把Cookie的Expire值设置为“0”或者负值。这样一旦关闭浏览器,就马上清除Cookie,Cookie马上失效。使得浏览器更加安全。
Cookie的缺陷
- 数量受限:上面已经说到:一个站点限制Cookie不能超过20个,且单个Cookie保存的数据不能超过4k。还需补充的是,一个浏览器能创建最多300个Cookie。
- 安全性不高:Cookie是保存在本地的,一旦收到跨站点脚本攻击,Cookie的内容就有可能窃取。
- 浏览器可以禁用Cookie:一旦Cookie被禁用,那就没法发挥其作用了。
关于session
session是另外一种记录客户状态的机制。与cookie不同的是,cookie保存在浏览器或本地,而session保存在服务器端。
会话与session
会话: 用户打开一个浏览器,点击多个超链接,访问多个web资源,最后关闭浏览器。这个过程叫做会话。
session: session即会话控制。session对象存储着特定用户对话所需的属性和配置信息。
session的原理
描述如下:
· 当客户端用户访问服务器端后,服务器端会向客户端浏览器返回一个会话编号,sessionID。并且sessionID保存到cookie中
· 服务器端同时也把sessionID和该sessionID对应用户的信息和操作记录 记录到服务器上。这些记录就是session,是保存在服务器端的。
· 客户端再次访问时,会发送cookie给服务器端。cookie中就包含了sessionID。
· 服务器端通过cookie中找到会话编号sessionID。通过此会话编号,即可找到所记录的用户信息,操作记录(访问过什么)。
Cookie和session的结合使用
Server side session
描述:
客户端cookie中存储一个sessionID。具体用户信息和操作记录是存在session,即服务器端。在第二次请求时,客户端发送包含sessionID的cookie给服务器端。服务器端根据cookie中的sessionID,就能在session库中找到对应的session信息,就能读取对应用户的具体信息了。
Client side session
描述:
将session数据加密,保存在cookie中。