1.http是无状态的
何谓无状态,即其对于事务处理没有记忆能力,每次http请求都是独立的,没有任何关系。所以缺少状态意味着如果后续处理需要前面的信息,必须重传。
举个例子,现在很多网站都需要登录才能访问,现在假设有3个url,登录页、首页、详情页。
- 用户打开登录页,输入账号密码,后台拿到账号密码,从数据库中查找有没有该用户,发现有,页面重定向到列表页。(没有的话提示暂无账号信息)
- 用户现在想查看详情,点击首页上的某个链接,浏览器请求服务器上对应的详情页,此时服务器并没有接收到该用户的账号信息(即不记得上次从登录页面发过来的账户信息),服务器因为接收不到账号信息,代表没登录,页面重定向的登录页。
- 用户继续输入账号信息,登录成功页面跳转到详情页。
这样每次操作都需要登录,对于用户来说肯定是不友好的,为了保持http状态,于是在1993年,网景公司雇员 Lou Montulli 发明了今天广泛使用的 Cookie。
2.Cookie
还拿上面的例子来说:
- 用户打开登录页,输入账号密码,后台拿到账号密码,从数据库中查找有没有该用户,发现有,发送一个http响应A到客户端,响应头中包含了Set-Cookie头部(值为账号信息),然后页面重定向到列表页。(没有的话提示暂无账号信息)
- 浏览器接收到http响应A,发现里面有set-cookie字段,将set-cookie的值保存到对应的域名下面。
- 用户现在想查看详情,点击首页上的某个链接,浏览器请求服务器上对应的详情页,浏览器会先检查该域名是否有相应的cookie,有的话取出的cookie值填加到http请求头上,后台从请求头中发现有cookie,从中取出账号信息,然后从数据库中查找有没有该用户,发现有,页面重定向到详情页。这样既避免了重新登录,又保持了登录状态。
注:存储在cookie中的数据,每次都会被浏览器自动放在http请求中,如果这些数据并不是每个请求都需要发给服务端的数据,浏览器这设置自动处理无疑增加了网络开销;但如果这些数据是每个请求都需要发给服务端的数据(比如身份认证信息),浏览器这设置自动处理就大大免去了重复添加操作。所以对于那设置“每次请求都要携带的信息(最典型的就是身份认证信息)”就特别适合放在cookie中,其他类型的数据就不适合了。
但是cookie还存在有2个问题:
- 随着业务复杂程度的增加,cookie需要存很多数据,增加了网络开销,并且cookie的大小最大为4KB。
- cookie是保存在客户端的,用户账号信息保存在客户端会有安全问题。
所以session应运而生。
3.session(是一种服务端技术,并不真实存在,真正存在的是sessionId)
还拿上面的例子来说:
- 用户打开登录页,输入账号密码,后台拿到账号密码,从数据库中查找有没有该用户,发现有,服务器在数据库中创建了一个sessionId(唯一)和账号信息的映射关系,然后发送一个http响应A到客户端,响应头中包含了Set-Cookie头部(只有一个sessionId,不包含用户信息),然后页面重定向到列表页。(没有的话提示暂无账号信息)
- 浏览器接收到http响应A,发现里面有set-cookie字段,将set-cookie的值保存到对应的域名下面。
- 用户现在想查看详情,点击首页上的某个链接,浏览器请求服务器上对应的详情页,浏览器会先检查是否有相应的cookie,有的话取出的cookie值填加到http请求头上,后台从请求头中发现有cookie,从中取出sessionId,然后通过该id从数据库中查找有没有该用户以及该用户对应的其他信息,发现有,页面重定向到详情页。
- 这样做的好处是,用户信息存在服务端,既保证了安全性,又使得客户端不需要存储大量数据,只存一个sessionId,其他信息(不仅仅是账号信息)都放在数据库,减小了http网络传输的数据开销。
注:上面讲的的例子中,sessionId是借助cookie来存储的,假如浏览器禁止cookie怎么办,此时服务端一般会把sessionId跟着url参数后面即重写url。所以session不一定非得需要cookie
网友评论