session与cookie的相同点:
cookie和session都是能够保存顾客状态的技术,尽管两者属于不同的技术,但是只要cookie能够做到的,session也能够做到。
session运行机制:
Session 是存放在服务器端的,类似于Session结构来存放用户数据当浏览器 第一次发送请求时,服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session,并将其通过响应发送到浏览器。当浏览器第二次发送请求,会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上,服务器从请求中提取出Session ID,并和保存的所有Session ID进行对比,找到这个用户对应的Session。
session的客户端实现形式:
Session的客户端实现形式(即Session ID的保存方法)
一般浏览器提供了两种方式来保存,还有一种是程序员使用html隐藏域的方式自定义实现:
[1] 使用Cookie来保存,这是最常见的方法,本文“记住我的登录状态”功能的实现正式基于这种方式的。服务器通过设置Cookie的方式将Session ID发送到浏览器。如果我们不设置这个过期时间,那么这个Cookie将不存放在硬盘上,当浏览器关闭的时候,Cookie就消失了,这个Session ID就丢失了。如果我们设置这个时间为若干天之后,那么这个Cookie会保存在客户端硬盘中,即使浏览器关闭,这个值仍然存在,下次访问相应网站时,同 样会发送到服务器上。
[2] 使用URL附加信息的方式,也就是像我们经常看到JSP网站会有aaa.jsp?JSESSIONID=*一样的。这种方式和第一种方式里面不设置Cookie过期时间是一样的。
[3] 第三种方式是在页面表单里面增加隐藏域,这种方式实际上和第二种方式一样,只不过前者通过GET方式发送数据,后者使用POST方式发送数据。但是明显后者比较麻烦。
session与cookie的区别:
1.存取方式
session保存在服务器端,过期session服务器会清理;
cookie保存在客户端,删除的操作必须由客户端来操作;虽然浏览器会按要求删除cookie,但是也有例外,例如:流氓浏览器,浏览器意外退出。
2.安全性
cookie数据存储在客户端,容易被篡改;但只要不存储敏感数据就行,cookie也可以加密保存。
session虽然存储在服务器端,但是并没有太大的优越感。
3.有效期
session可以严格控制过期时间,默认关闭浏览器就消失。可以利用cookie来延长过期时间。
cookie由客户端决定,并且不能特别精准,但是可以长期有效,比如10年。。。
4.效率
session保存在服务器端,读写都需要消耗资源;
cookie保存在客户端,效率相对更高,但是流量走的也更多一点。
其实在目前的架构下,效率都不是问题,session也可以通过session存入数据库,或者使用内存缓存等技术,提高效率。cookie一般也只保存很少的关键数据,而不是滥用。
5.浏览器禁用cookie
session还可以使用url网址传递,而cookie则只能干瞪眼。
6.跨域
cookie可以跨子域名,session则不能。
网友评论