session和cookie的區(qū)別

一·概念理解

首先呢，要了解session和cookie的區(qū)別先要了解以下幾個概念：

1咒精、無狀態(tài)的HTTP協(xié)議：

協(xié)議，是指計算機(jī)通信網(wǎng)絡(luò)中兩臺計算機(jī)之間進(jìn)行通信所必須共同遵守的規(guī)定或規(guī)則甸各，超文本傳輸協(xié)議(HTTP)是一種通信協(xié)議，它允許將超文本標(biāo)記語言(HTML)文檔從Web服務(wù)器傳送到客戶端的瀏覽器。

HTTP協(xié)議是無狀態(tài)的協(xié)議。一旦數(shù)據(jù)交換完畢看疙，客戶端與服務(wù)器端的連接就會關(guān)閉，再次交換數(shù)據(jù)需要建立新的連接直奋。這就意味著服務(wù)器無法從連接上跟蹤會話。

2施禾、會話（Session）跟蹤：

會話脚线，指用戶登錄網(wǎng)站后的一系列動作，比如瀏覽商品添加到購物車并購買弥搞。會話（Session）跟蹤是Web程序中常用的技術(shù)邮绿，用來跟蹤用戶的整個會話。常用的會話跟蹤技術(shù)

是Cookie與Session攀例。Cookie通過在客戶端記錄信息確定用戶身份船逮，Session通過****在服務(wù)器端記錄信息確定用戶身份。

二·cookie
由于HTTP是一種無狀態(tài)的協(xié)議粤铭，服務(wù)器單從網(wǎng)絡(luò)連接上無從知道客戶身份挖胃。用戶A購買了一件商品放入購物車內(nèi)，當(dāng)再次購買商品時服務(wù)器已經(jīng)無法判斷該購買行為是屬于用戶A的會話還是用戶B的會話了梆惯。怎么辦呢酱鸭？就給客戶端們頒發(fā)一個通行證吧，每人一個垛吗，無論誰訪問都必須攜帶自己通行證凹髓。這樣服務(wù)器就能從通行證上確認(rèn)客戶身份了。這就是Cookie 的工作原理怯屉。

Cookie實際上是一小段的文本信息蔚舀。客戶端請求服務(wù)器锨络，如果服務(wù)器需要記錄該用戶狀態(tài)赌躺，就使用response向客戶端瀏覽器頒發(fā)一個Cookie∽闵荆客戶端會把Cookie保存起來寿谴。

當(dāng)瀏覽器再請求該網(wǎng)站時，瀏覽器把請求的網(wǎng)址連同該Cookie一同提交給服務(wù)器失受。服務(wù)器檢查該Cookie讶泰，以此來辨認(rèn)用戶狀態(tài)咏瑟。服務(wù)器還可以根據(jù)需要修改Cookie的內(nèi)容。

1痪署、會話Cookie和持久Cookie

若不設(shè)置過期時間码泞，則表示這個cookie的生命期為瀏覽器會話期間，關(guān)閉瀏覽器窗口狼犯，cookie就消失余寥。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在硬盤上而是保存在內(nèi)存里悯森，當(dāng)然這種行為并不是規(guī)范規(guī)定的宋舷。

若設(shè)置了過期時間，瀏覽器就會把cookie保存到硬盤上瓢姻，關(guān)閉后再次打開瀏覽器祝蝠，這些cookie仍然有效直到超過設(shè)定的過期時間。存儲在硬盤上的cookie可以在瀏覽器的不同進(jìn)程間共享幻碱。這種稱為持久Cookie绎狭。

2、Cookie具有不可跨域名性

就是說褥傍，瀏覽器訪問百度不會帶上谷歌的cookie;

三. Session
Session是另一種記錄客戶狀態(tài)的機(jī)制儡嘶，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務(wù)器上恍风”目瘢客戶端瀏覽器訪問服務(wù)器的時候，服務(wù)器把客戶端信息以某種形式記錄

在服務(wù)器上邻耕。這就是Session鸥咖。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態(tài)就可以了兄世。

每個用戶訪問服務(wù)器都會建立一個session啼辣，那服務(wù)器是怎么標(biāo)識用戶的唯一身份呢？事實上御滩，用戶與服務(wù)器建立連接的同時鸥拧，服務(wù)器會自動為其分配一個SessionId。

1削解、兩個問題：

1）什么東西可以讓你每次請求都把SessionId自動帶到服務(wù)器呢富弦？顯然就是cookie了，如果你想為用戶建立一次會話氛驮，可以在用戶授權(quán)成功時給他一個唯一的cookie腕柜。當(dāng)一個

用戶提交了表單時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中，（這是瀏覽器的自動功能盏缤，用戶不會察覺到）砰蠢，當(dāng)服務(wù)器處理完這個表單后，將結(jié)果返回給SessionId

所對應(yīng)的用戶唉铜。試想台舱，如果沒有 SessionId，當(dāng)有兩個用戶同時進(jìn)行注冊時潭流，服務(wù)器怎樣才能知道到底是哪個用戶提交了哪個表單呢竞惋。

2）儲存需要的信息。服務(wù)器通過SessionId作為key灰嫉，讀寫到對應(yīng)的value拆宛，這就達(dá)到了保持會話信息的目的。

2讼撒、session的創(chuàng)建：

當(dāng)程序需要為某個客戶端的請求創(chuàng)建一個session時胰挑，服務(wù)器首先檢查這個客戶端的請求里是否已包含了sessionId，如果已包含則說明以前已經(jīng)為此客戶端創(chuàng)建過session椿肩，服務(wù)

器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個）豺谈，如果客戶端請求不包含sessionId郑象，則為此客戶端創(chuàng)建一個session并且生成一個與此session相關(guān)

聯(lián)的sessionId，sessionId的值是一個既不會重復(fù)茬末，又不容易被找到規(guī)律以仿造的字符串厂榛，這個sessionId將被在本次響應(yīng)中返回給客戶端保存。

3丽惭、禁用cookie：

如果客戶端禁用了cookie击奶，通常有兩種方法實現(xiàn)session而不依賴cookie。

1）URL重寫责掏，就是把sessionId直接附加在URL路徑的后面柜砾。

2）表單隱藏字段。就是服務(wù)器會自動修改表單换衬，添加一個隱藏字段痰驱，以便在表單提交時能夠把session id傳遞回服務(wù)器。比如：

4瞳浦、Session共享：

對于多網(wǎng)站(同一父域不同子域)單服務(wù)器担映，我們需要解決的就是來自不同網(wǎng)站之間SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com)叫潦，而SessionId又分別儲存

在各自的cookie中蝇完，因此服務(wù)器會認(rèn)為對于兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達(dá)到cookie共享的目的,從而實現(xiàn)SessionId的共

享。帶來的弊端就是短蜕，子站間的cookie信息也同時被共享了氢架。

四. 總結(jié)

1、cookie數(shù)據(jù)存放在客戶的瀏覽器上忿危，session數(shù)據(jù)放在服務(wù)器上达箍。

2、cookie不是很安全铺厨，別人可以分析存放在本地的cookie并進(jìn)行cookie欺騙缎玫，考慮到安全應(yīng)當(dāng)使用session。

3解滓、session會在一定時間內(nèi)保存在服務(wù)器上赃磨。當(dāng)訪問增多，會比較占用你服務(wù)器的性能洼裤，考慮到減輕服務(wù)器性能方面邻辉，應(yīng)當(dāng)使用cookie。

4腮鞍、單個cookie保存的數(shù)據(jù)不能超過4K值骇，很多瀏覽器都限制一個站點(diǎn)最多保存20個cookie。

5移国、可以考慮將登陸信息等重要信息存放為session吱瘩，其他信息如果需要保留，可以放在cookie中迹缀。

五.應(yīng)用場景

登錄網(wǎng)站使碾，今輸入用戶名密碼登錄了，第二天再打開很多情況下就直接打開了祝懂。這個時候用到的一個機(jī)制就是cookie票摇。
session一個場景是購物車，添加了商品之后客戶端處可以知道添加了哪些商品砚蓬，而服務(wù)器端如何判別呢矢门，所以也需要存儲一些信息就用到了session