image.png

1.為什么需要cookie和session

1.HTTP協(xié)議無(wú)連接

無(wú)連接

HTTP每次連接只處理一個(gè)請(qǐng)求发侵，服務(wù)端處理完客戶(hù)端的請(qǐng)求，并受到客戶(hù)端的應(yīng)答后妆偏，就斷開(kāi)TCP連接

為什么無(wú)連接

HTTP協(xié)議產(chǎn)生于互聯(lián)網(wǎng)刃鳄，服務(wù)器需要處理面向全世界的成千上萬(wàn)的客戶(hù)端的網(wǎng)頁(yè)訪問(wèn)，每個(gè)客戶(hù)端（瀏覽器）與服務(wù)器交換數(shù)據(jù)的間歇較大钱骂，因此如果保持這個(gè)連接叔锐，那么大多數(shù)時(shí)間都是空閑浪費(fèi)的。因此HTTP的設(shè)計(jì)者將其設(shè)計(jì)為請(qǐng)求時(shí)建立連接见秽，請(qǐng)求完畢釋放連接愉烙，將資源盡快釋放出以服務(wù)其他客戶(hù)端。

無(wú)連接的優(yōu)點(diǎn)和缺點(diǎn)

優(yōu)點(diǎn)：釋放資源解取，不浪費(fèi)資源步责。
缺點(diǎn)：隨著互聯(lián)網(wǎng)發(fā)展，網(wǎng)頁(yè)變得越來(lái)越復(fù)雜禀苦，網(wǎng)頁(yè)里嵌套的東西越來(lái)越多（圖片蔓肯，視頻等），每次訪問(wèn)都要重新建立一次TCP連接顯得低效伦忠。

解決HTTP無(wú)連接低效的辦法

Keep-Alive：使客戶(hù)端和服務(wù)器的連接持續(xù)有效省核，當(dāng)客戶(hù)端對(duì)服務(wù)器發(fā)起二次三次請(qǐng)求時(shí)，可以避免重新建立連接昆码。當(dāng)然不可避免會(huì)帶來(lái)占用資源影響性能的問(wèn)題气忠，特別當(dāng)WEB服務(wù)器和應(yīng)用服務(wù)器在同一臺(tái)機(jī)器上運(yùn)行時(shí)影響較突出邻储。

2.HTTP協(xié)議無(wú)狀態(tài)

無(wú)狀態(tài)

無(wú)狀態(tài)是指HTTP協(xié)議對(duì)事務(wù)處理沒(méi)有記憶能力，服務(wù)器不知道客戶(hù)端是什么狀態(tài)旧噪。也就是說(shuō)吨娜，客戶(hù)端給服務(wù)器發(fā)送HTTP請(qǐng)求后，服務(wù)器根據(jù)請(qǐng)求淘钟，傳回?cái)?shù)據(jù)宦赠，整個(gè)過(guò)程完成后服務(wù)器不會(huì)記錄任何信息。

為什么無(wú)狀態(tài)

第一米母，歷史原因勾扭。設(shè)計(jì)HTTP最初目的就是為了提供一種發(fā)布和接收HTML頁(yè)面的方法，那時(shí)候沒(méi)有動(dòng)態(tài)頁(yè)面铁瞒，只有靜態(tài)HTML頁(yè)面妙色，因此不需要保持狀態(tài)。
第二慧耍，跟HTTP無(wú)連接也有關(guān)系身辨。既然HTTP完成一次請(qǐng)求之后就會(huì)斷開(kāi)TCP連接，服務(wù)器完全無(wú)法預(yù)知客戶(hù)端的下一個(gè)工作芍碧，甚至不知道客戶(hù)端會(huì)不會(huì)再次訪問(wèn)煌珊，這樣保持用戶(hù)的訪問(wèn)狀態(tài)也沒(méi)必要了。
第三泌豆，在滿(mǎn)足基本功能前提下定庵，把HTTP設(shè)計(jì)得相對(duì)簡(jiǎn)單，其實(shí)也是賦予了一種擴(kuò)展能力踪危，將一些復(fù)雜的功能擴(kuò)展到以HTTP為基礎(chǔ)的技術(shù)之上洗贰。

無(wú)狀態(tài)的優(yōu)點(diǎn)和缺點(diǎn)

優(yōu)點(diǎn)：解放了服務(wù)器，每一次請(qǐng)求都“點(diǎn)到為止”陨倡，不會(huì)造成不必要的連接占用。
缺點(diǎn)：隨著互聯(lián)網(wǎng)發(fā)展许布，動(dòng)態(tài)交互的WEB引用出現(xiàn)后兴革，網(wǎng)頁(yè)不再止于靜態(tài)頁(yè)面，人們對(duì)交互的要求越來(lái)越高蜜唾，而交互又是需要承前啟后的杂曲，比如一個(gè)很簡(jiǎn)單的購(gòu)物車(chē)程序也是需要知道用戶(hù)之前選擇了什么商品。

解決保持HTTP狀態(tài)的辦法

Cookie和Session應(yīng)運(yùn)而生

2.Cookie和Session區(qū)別

• cookie技術(shù)
  客戶(hù)端（瀏覽器）的解決方案袁余。cookie是服務(wù)器發(fā)給客戶(hù)端的特殊信息擎勘，以文本文件方式存儲(chǔ)在客戶(hù)端，當(dāng)客戶(hù)端每次發(fā)起請(qǐng)求時(shí)颖榜，會(huì)帶上這些信息棚饵，標(biāo)識(shí)客戶(hù)端的狀態(tài)煤裙。
  服務(wù)器回傳的cookie存放于HTTP響應(yīng)頭（Response Header）中，客戶(hù)端發(fā)送的cookie存放在HTTP請(qǐng)求頭（Request Header）中噪漾。
  服務(wù)器接受到來(lái)自客戶(hù)端瀏覽器的請(qǐng)求后硼砰，能夠通過(guò)分析存放于請(qǐng)求頭的cookie得到客戶(hù)端的信息，從而動(dòng)態(tài)生成相應(yīng)的內(nèi)容欣硼。
  舉例：在很多網(wǎng)站的登錄界面有“請(qǐng)記住我”選項(xiàng)题翰，選擇之后無(wú)需再輸入信息直接登錄，這個(gè)就是通過(guò)cookie實(shí)現(xiàn)的诈胜。
  格式：

  Set-cookie:name=name;expires=date;path=path;domain=domain
  

• session技術(shù)
  服務(wù)器端的解決方案豹障。session是由服務(wù)端保存的一個(gè)數(shù)據(jù)結(jié)構(gòu)，用來(lái)跟蹤用戶(hù)狀態(tài)焦匈，這個(gè)數(shù)據(jù)可以保存在內(nèi)存血公，數(shù)據(jù)庫(kù)，文件中括授，通過(guò)session數(shù)據(jù)來(lái)保持HTTP狀態(tài)坞笙。
  客戶(hù)端訪問(wèn)服務(wù)器時(shí)，服務(wù)器根據(jù)需要設(shè)置session荚虚，將回話信息保存薛夜，標(biāo)識(shí)sessionId傳遞給客戶(hù)端瀏覽器，瀏覽器將這個(gè)sessionId保存在內(nèi)存中版述，也就是保存在無(wú)過(guò)期時(shí)間的cookie中梯澜，以后瀏覽器每次請(qǐng)求都會(huì)額外加上這個(gè)sessionId，瀏覽器根據(jù)這個(gè)sessionId渴析，取得相應(yīng)的數(shù)據(jù)信息晚伙。

3.Session建立流程

• 首次請(qǐng)求
  瀏覽器首次登陸到網(wǎng)站服務(wù)器時(shí)，會(huì)先找到對(duì)應(yīng)的cookie文件俭茧，首次訪問(wèn)當(dāng)然沒(méi)有cookie咆疗，也就是沒(méi)有JSESSIONID，所以在請(qǐng)求頭部中沒(méi)有cookie的內(nèi)容母债，請(qǐng)求到達(dá)服務(wù)器時(shí)午磁，服務(wù)器一看，誒毡们，請(qǐng)求頭中沒(méi)有JSESSIONID迅皇，那你是第一次訪問(wèn)哦，于是生成一個(gè)session對(duì)象衙熔，并且按照某種算法給你生成一個(gè)sessionId登颓，并且把sessionId和session對(duì)象放入HashMap中，然后把這個(gè)sessionId發(fā)回給客戶(hù)端红氯，也就是在響應(yīng)頭部有一行：set-Cookie:JSESSIONID=XXXXXXXXXX框咙，告訴你咕痛，你已經(jīng)有個(gè)憑證啦，以后再來(lái)訪問(wèn)帶著這個(gè)東西會(huì)更快哦扁耐∠炯欤客戶(hù)端拿到響應(yīng)解析后看到，誒婉称，給了我一個(gè)sessionId块仆，趕緊存下來(lái)放到自己的Cookie中。

  
  
  image.png

• 再次請(qǐng)求
  比如客戶(hù)端登陸后訪問(wèn)網(wǎng)站的另一個(gè)頁(yè)面王暗，也就是向同一個(gè)服務(wù)器發(fā)起了再次請(qǐng)求悔据，這個(gè)時(shí)候?yàn)g覽器會(huì)先檢查自己有沒(méi)有Cookie，這時(shí)候是由的（前提沒(méi)有過(guò)期）俗壹，把Cookie的內(nèi)容放到請(qǐng)求頭中科汗，也就是請(qǐng)求頭中有一行：set-Cookie:JSESSIONID=XXXXXXXXXX，服務(wù)器接收到請(qǐng)求解析后看到JSESSIONID的值也就是sessionId绷雏，根據(jù)sessionId找到對(duì)應(yīng)的session头滔，再判斷該客戶(hù)端有沒(méi)有登陸，確認(rèn)登陸后才允許訪問(wèn)涎显。

  
  
  image.png

4.Session數(shù)據(jù)結(jié)構(gòu)

上面說(shuō)了session是一種數(shù)據(jù)結(jié)構(gòu)坤检，那么到底是哪種數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)了session相關(guān)的變量呢？
先來(lái)猜測(cè)一下期吓，首先session必須被同步操作早歇，因?yàn)樵诙嗑€程環(huán)境下session是現(xiàn)線程間共享的，而web服務(wù)器一般情況下都是多線程的（為了提高性能還會(huì)使用線程池）讨勤，其次箭跳，這個(gè)數(shù)據(jù)結(jié)構(gòu)要容易操作，最好是傳統(tǒng)的鍵值對(duì)的存儲(chǔ)形式潭千。
通過(guò)以上兩點(diǎn)谱姓，猜測(cè)應(yīng)該是ConcurrentHashMap數(shù)據(jù)結(jié)構(gòu)。
然后再來(lái)驗(yàn)證一下刨晴，查看tomcat的源碼org.apache.catalina.session. ManagerBase類(lèi)里的session實(shí)例逝段，得到驗(yàn)證的確是ConcurrentHashMap。

protected Map<String, Session> sessions = new ConcurrentHashMap<String, Session>();

5.cookie和session的應(yīng)用場(chǎng)景和其他比較

• 應(yīng)用場(chǎng)景
  Cookie的典型應(yīng)用場(chǎng)景是Remember Me服務(wù)割捅，即用戶(hù)的賬戶(hù)信息通過(guò)cookie的形式保存在客戶(hù)端，當(dāng)用戶(hù)再次請(qǐng)求匹配的URL的時(shí)候帚桩，賬戶(hù)信息會(huì)被傳送到服務(wù)端亿驾，交由相應(yīng)的程序完成自動(dòng)登錄等功能。當(dāng)然也可以保存一些客戶(hù)端信息账嚎，比如頁(yè)面布局以及搜索歷史等等莫瞬。 Session的典型應(yīng)用場(chǎng)景是用戶(hù)登錄某網(wǎng)站之后儡蔓，將其登錄信息放入session，在以后的每次請(qǐng)求中查詢(xún)相應(yīng)的登錄信息以確保該用戶(hù)合法疼邀。當(dāng)然還是有購(gòu)物車(chē)等等經(jīng)典場(chǎng)景喂江；

• 安全性
  cookie將信息保存在客戶(hù)端，如果不進(jìn)行加密的話旁振，無(wú)疑會(huì)暴露一些隱私信息获询，安全性很差，一般情況下敏感信息是經(jīng)過(guò)加密后存儲(chǔ)在cookie中拐袜，但很容易就會(huì)被竊取吉嚣。而session只會(huì)將信息存儲(chǔ)在服務(wù)端，如果存儲(chǔ)在文件或數(shù)據(jù)庫(kù)中蹬铺，也有被竊取的可能尝哆，只是可能性比cookie小了太多。 Session安全性方面比較突出的是存在會(huì)話劫持的問(wèn)題甜攀，這是一種安全威脅秋泄，這在下文會(huì)進(jìn)行更詳細(xì)的說(shuō)明」娣В總體來(lái)講恒序，session的安全性要高于cookie；

• 性能
  Cookie存儲(chǔ)在客戶(hù)端姥敛，消耗的是客戶(hù)端的I/O和內(nèi)存奸焙，而session存儲(chǔ)在服務(wù)端，消耗的是服務(wù)端的資源彤敛。但是session對(duì)服務(wù)器造成的壓力比較集中与帆，而cookie很好地分散了資源消耗，就這點(diǎn)來(lái)說(shuō)墨榄，cookie是要優(yōu)于session的玄糟；

• 時(shí)效性
  Cookie可以通過(guò)設(shè)置有效期使其較長(zhǎng)時(shí)間內(nèi)存在于客戶(hù)端，而session一般只有比較短的有效期（用戶(hù)主動(dòng)銷(xiāo)毀session或關(guān)閉瀏覽器后引發(fā)超時(shí)）袄秩；

• 其他
  Cookie的處理在開(kāi)發(fā)中沒(méi)有session方便阵翎。而且cookie在客戶(hù)端是有數(shù)量和大小的限制的，而session的大小卻只以硬件為限制之剧，能存儲(chǔ)的數(shù)據(jù)無(wú)疑大了太多郭卫。