'session和cookie的區別'

一·概念理解

首先呢，要了解session和cookie的區別先要了解以下幾個概念：

1、無狀態的HTTP協議：

協議，是指計算機通信網絡中兩臺計算機之間進行通信所必須共同遵守的規定或規則，超文本傳輸協議(HTTP)是一種通信協議，它允許將超文本標記語言(HTML)文檔從Web服務器

傳送到客戶端的瀏覽器。

HTTP協議是無狀態的協議。一旦數據交換完畢，客戶端與服務器端的連接就會關閉，再次交換數據需要建立新的連接。這就意味著服務器無法從連接上跟蹤會話。

2、會話（Session）跟蹤：

會話，指用戶登錄網站後的一系列動作，比如瀏覽商品添加到購物車併購買。會話（Session）跟蹤是Web程序中常用的技術，用來跟蹤用戶的整個會話。常用的會話跟蹤技術

是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份，Session通過在服務器端記錄信息確定用戶身份。

二·cookie

由於HTTP是一種無狀態的協議，服務器單從網絡連接上無從知道客戶身份。用戶A購買了一件商品放入購物車內，當再次購買商品時服務器已經無法判斷該購買行為是屬於用戶A的會話還是用戶B的會話了。怎麼辦呢？就給客戶端們頒發一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣服務器就能從通行證上確認客戶身份了。這就是Cookie 的工作原理。

Cookie實際上是一小段的文本信息。客戶端請求服務器，如果服務器需要記錄該用戶狀態，就使用response向客戶端瀏覽器頒發一個Cookie。客戶端會把Cookie保存起來。

當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給服務器。服務器檢查該Cookie，以此來辨認用戶狀態。服務器還可以根據需要修改Cookie的內容。

1、會話Cookie和持久Cookie

若不設置過期時間，則表示這個cookie的生命期為瀏覽器會話期間，關閉瀏覽器窗口，cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在硬盤上而是保存在內存裡，當然這種行為並不是規範規定的。

若設置了過期時間，瀏覽器就會把cookie保存到硬盤上，關閉後再次打開瀏覽器，這些cookie仍然有效直到超過設定的過期時間。存儲在硬盤上的cookie可以在瀏覽器的不同進程間共享。這種稱為持久Cookie。

2、Cookie具有不可跨域名性

就是說，瀏覽器訪問百度不會帶上谷歌的cookie;

三. Session

Session是另一種記錄客戶狀態的機制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務器上。客戶端瀏覽器訪問服務器的時候，服務器把客戶端信息以某種形式記錄

在服務器上。這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態就可以了。

每個用戶訪問服務器都會建立一個session，那服務器是怎麼標識用戶的唯一身份呢？事實上，用戶與服務器建立連接的同時，服務器會自動為其分配一個SessionId。

1、兩個問題：

1）什麼東西可以讓你每次請求都把SessionId自動帶到服務器呢？顯然就是cookie了，如果你想為用戶建立一次會話，可以在用戶授權成功時給他一個唯一的cookie。當一個

用戶提交了表單時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中，（這是瀏覽器的自動功能，用戶不會察覺到），當服務器處理完這個表單後，將結果返回給SessionId

所對應的用戶。試想，如果沒有 SessionId，當有兩個用戶同時進行註冊時，服務器怎樣才能知道到底是哪個用戶提交了哪個表單呢。

2）儲存需要的信息。服務器通過SessionId作為key，讀寫到對應的value，這就達到了保持會話信息的目的。

2、session的創建：

當程序需要為某個客戶端的請求創建一個session時，服務器首先檢查這個客戶端的請求裡是否已包含了sessionId，如果已包含則說明以前已經為此客戶端創建過session，服務

器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個），如果客戶端請求不包含sessionId，則為此客戶端創建一個session並且生成一個與此session相關

聯的sessionId，sessionId的值是一個既不會重複，又不容易被找到規律以仿造的字符串，這個sessionId將被在本次響應中返回給客戶端保存。

3、禁用cookie：

如果客戶端禁用了cookie，通常有兩種方法實現session而不依賴cookie。

1）URL重寫，就是把sessionId直接附加在URL路徑的後面。

2）表單隱藏字段。就是服務器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞迴服務器。比如：

<form name="testform" action="/xxx">

<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">

<input type="text">

</form>

4、Session共享：

對於多網站(同一父域不同子域)單服務器，我們需要解決的就是來自不同網站之間SessionId的共享。由於域名不同(aaa.test.com和bbb.test.com)，而SessionId又分別儲存

在各自的cookie中，因此服務器會認為對於兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達到cookie共享的目的,從而實現SessionId的共

享。帶來的弊端就是，子站間的cookie信息也同時被共享了。

四. 總結

1、cookie數據存放在客戶的瀏覽器上，session數據放在服務器上。

2、cookie不是很安全，別人可以分析存放在本地的cookie並進行cookie欺騙，考慮到安全應當使用session。

3、session會在一定時間內保存在服務器上。當訪問增多，會比較佔用你服務器的性能，考慮到減輕服務器性能方面，應當使用cookie。

4、單個cookie保存的數據不能超過4K，很多瀏覽器都限制一個站點最多保存20個cookie。

5、可以考慮將登陸信息等重要信息存放為session，其他信息如果需要保留，可以放在cookie中。

五.應用場景

• 登錄網站，今輸入用戶名密碼登錄了，第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是cookie。
• session一個場景是購物車，添加了商品之後客戶端處可以知道添加了哪些商品，而服務器端如何判別呢，所以也需要存儲一些信息就用到了session

"

一·概念理解

首先呢，要了解session和cookie的區別先要了解以下幾個概念：

1、無狀態的HTTP協議：

協議，是指計算機通信網絡中兩臺計算機之間進行通信所必須共同遵守的規定或規則，超文本傳輸協議(HTTP)是一種通信協議，它允許將超文本標記語言(HTML)文檔從Web服務器

傳送到客戶端的瀏覽器。

HTTP協議是無狀態的協議。一旦數據交換完畢，客戶端與服務器端的連接就會關閉，再次交換數據需要建立新的連接。這就意味著服務器無法從連接上跟蹤會話。

2、會話（Session）跟蹤：

會話，指用戶登錄網站後的一系列動作，比如瀏覽商品添加到購物車併購買。會話（Session）跟蹤是Web程序中常用的技術，用來跟蹤用戶的整個會話。常用的會話跟蹤技術

是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份，Session通過在服務器端記錄信息確定用戶身份。

二·cookie

由於HTTP是一種無狀態的協議，服務器單從網絡連接上無從知道客戶身份。用戶A購買了一件商品放入購物車內，當再次購買商品時服務器已經無法判斷該購買行為是屬於用戶A的會話還是用戶B的會話了。怎麼辦呢？就給客戶端們頒發一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣服務器就能從通行證上確認客戶身份了。這就是Cookie 的工作原理。

Cookie實際上是一小段的文本信息。客戶端請求服務器，如果服務器需要記錄該用戶狀態，就使用response向客戶端瀏覽器頒發一個Cookie。客戶端會把Cookie保存起來。

當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給服務器。服務器檢查該Cookie，以此來辨認用戶狀態。服務器還可以根據需要修改Cookie的內容。

1、會話Cookie和持久Cookie

若不設置過期時間，則表示這個cookie的生命期為瀏覽器會話期間，關閉瀏覽器窗口，cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在硬盤上而是保存在內存裡，當然這種行為並不是規範規定的。

若設置了過期時間，瀏覽器就會把cookie保存到硬盤上，關閉後再次打開瀏覽器，這些cookie仍然有效直到超過設定的過期時間。存儲在硬盤上的cookie可以在瀏覽器的不同進程間共享。這種稱為持久Cookie。

2、Cookie具有不可跨域名性

就是說，瀏覽器訪問百度不會帶上谷歌的cookie;

三. Session

Session是另一種記錄客戶狀態的機制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務器上。客戶端瀏覽器訪問服務器的時候，服務器把客戶端信息以某種形式記錄

在服務器上。這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態就可以了。

每個用戶訪問服務器都會建立一個session，那服務器是怎麼標識用戶的唯一身份呢？事實上，用戶與服務器建立連接的同時，服務器會自動為其分配一個SessionId。

1、兩個問題：

1）什麼東西可以讓你每次請求都把SessionId自動帶到服務器呢？顯然就是cookie了，如果你想為用戶建立一次會話，可以在用戶授權成功時給他一個唯一的cookie。當一個

用戶提交了表單時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中，（這是瀏覽器的自動功能，用戶不會察覺到），當服務器處理完這個表單後，將結果返回給SessionId

所對應的用戶。試想，如果沒有 SessionId，當有兩個用戶同時進行註冊時，服務器怎樣才能知道到底是哪個用戶提交了哪個表單呢。

2）儲存需要的信息。服務器通過SessionId作為key，讀寫到對應的value，這就達到了保持會話信息的目的。

2、session的創建：

當程序需要為某個客戶端的請求創建一個session時，服務器首先檢查這個客戶端的請求裡是否已包含了sessionId，如果已包含則說明以前已經為此客戶端創建過session，服務

器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個），如果客戶端請求不包含sessionId，則為此客戶端創建一個session並且生成一個與此session相關

聯的sessionId，sessionId的值是一個既不會重複，又不容易被找到規律以仿造的字符串，這個sessionId將被在本次響應中返回給客戶端保存。

3、禁用cookie：

如果客戶端禁用了cookie，通常有兩種方法實現session而不依賴cookie。

1）URL重寫，就是把sessionId直接附加在URL路徑的後面。

2）表單隱藏字段。就是服務器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞迴服務器。比如：

<form name="testform" action="/xxx">

<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">

<input type="text">

</form>

4、Session共享：

對於多網站(同一父域不同子域)單服務器，我們需要解決的就是來自不同網站之間SessionId的共享。由於域名不同(aaa.test.com和bbb.test.com)，而SessionId又分別儲存

在各自的cookie中，因此服務器會認為對於兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達到cookie共享的目的,從而實現SessionId的共

享。帶來的弊端就是，子站間的cookie信息也同時被共享了。

四. 總結

1、cookie數據存放在客戶的瀏覽器上，session數據放在服務器上。

2、cookie不是很安全，別人可以分析存放在本地的cookie並進行cookie欺騙，考慮到安全應當使用session。

3、session會在一定時間內保存在服務器上。當訪問增多，會比較佔用你服務器的性能，考慮到減輕服務器性能方面，應當使用cookie。

4、單個cookie保存的數據不能超過4K，很多瀏覽器都限制一個站點最多保存20個cookie。

5、可以考慮將登陸信息等重要信息存放為session，其他信息如果需要保留，可以放在cookie中。

五.應用場景

• 登錄網站，今輸入用戶名密碼登錄了，第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是cookie。
• session一個場景是購物車，添加了商品之後客戶端處可以知道添加了哪些商品，而服務器端如何判別呢，所以也需要存儲一些信息就用到了session

"