借鉴:千山鸟飞绝,万径人踪灭
Cookie简介
Cookie,有时也用其复数形式cookies,指某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常加过密)。定义于RFC2109和2956中的都已废弃,最新取代的规范是RFC6265
Cookie在计算机中是个存储在浏览器目录中的文本文件,当浏览器运行时,存储在RAM中发挥作用(此种Cookies称作Session Cookies),一旦用户从该网站或服务器退出,Cookie可存储在用户本地的硬盘上(此种Cookies称作Persistent Cookies)
通常情况下,当用户结束浏览器会话时,系统将终止所有的Cookie。当Web服务器创建了Cookies后,只要在其有效期内,当用户访问同一个web服务器时,浏览器首先要检查本地的Cookies,并将其原样发送给web服务器。这种状态信息称作“persistent Client State HTTP Cookie”,简称“Cookies”
Cookie的特点
- 在同一个页面中设置Cookie,实际上是按从后往前的顺序进行的。如果要先删除一个Cookie,再写入一个Cookie,则必须先写写入语句,再写删除语句,否则会出现错误
- Cookie是面向路径的。缺省路径(path)属性时;web服务器页面会自动传递当前路径给浏览器,指定路径强制服务器使用设置的路径,在一个目录页面里设置的Cookie在另一个目录的页面是看不到的
- Cookie必须在html文件的内容输出之前设置,不同的浏览器对Cookie的处理不一致,使用时一定要考虑,客户端用户如果设置禁止cookie则cookie不能建立,并且在客户端,一个浏览器能创建的cookie数量最多为300个,并且每个不能超过4kb,每个web站点能设置的cookie总量不超过20个
cookie生存周期
cookie可以保持登录信息到用户下次服务器的会话,换句话说,下次访问同一网站时,用户会发现不必输入用户和密码就已经登录了(当然,不排除用户手工删除cookie)。而还有一些cookie在用户退出会话的时候就被删除了,这样可以有效保护个人隐私
cookie在生成时就会被指定一个expire值,这就是cookie的生存周期,这个周期内cookie有效,超出周期cookie就会被清除,有些页面将cookie的生存周期设置为0或负值,这样关闭浏览器,就马上清除cookie,不会记录用户信息,更加安全
cookie的校验
根据密码校验:顾名思义,就是根据cookie中的用户名在数据库中查找,一旦找到信息,立即将其取出,然后与cookie中的密码进行比较,如果一致,则验证通过
根据最后一次cookie的时间进行校验:该方法的思路是每次服务器向用户颁发cookie时都要在数据库中更新一次cookie颁发时间,这样如果下次访问,服务器可通过cooKie中的用户名在数据库中查出相应的信息,然后与客户端的办法时间进行比对,如果颁发时间一致,则验证通过,该方法的优点是避免了用户密码存储在用户本地,因而更加的安全可靠。