大家好，我是IT修真院深圳分院JAVA第02期學(xué)員勤晚，一枚正直純潔善良的JAVA程序員。

今天給大家分享一下领虹，修真院官網(wǎng)JAVA（職業(yè)）任務(wù)5，深度思考中的知識點——Session和Cookie的區(qū)別

1.背景介紹

什么是Cookie

Cookie 是在HTTP協(xié)議下菌羽，服務(wù)器或腳本可以維護客戶工作站上信息的一種方式掠械。Cookie 是由 Web

服務(wù)器保存在用戶瀏覽器（客戶端）上的小文本文件(內(nèi)容通常經(jīng)過加密)，它可以包含有關(guān)用戶的信息注祖。無論何時用戶鏈接到服務(wù)器猾蒂，Web站點都可以訪問

Cookie 信息,可以看作是瀏覽器緩存.

什么是Session

Session的定義很抽象,在不同的場合中session一詞的含義也很不相同.它可以代表服務(wù)器與瀏覽器的一次會話過程,指從一個瀏覽器窗口打開到關(guān)閉的這個期間.也可以用于指一類用來在客戶端與服務(wù)器之間保持狀態(tài)的解決方案.

2.知識剖析

Cookie機制

Cookie需要解決三個問題：分發(fā)、內(nèi)容和使用是晨。

cookie的分發(fā)是通過擴展HTTP協(xié)議來實現(xiàn)的肚菠，服務(wù)器端通過在HTTP的響應(yīng)由中加上一行特殊的指示以提示瀏覽器按照指示生成相應(yīng)的cookie。

cookie的內(nèi)容主要包括name(名字)罩缴、value(值)蚊逢、maxAge(失效時間)、path(路徑),domain(域)和secure

name：cookie的名字箫章，一旦創(chuàng)建烙荷，名稱不可更改。

value：cookie的值檬寂，如果值為Unicode字符终抽，需要為字符編碼。如果為二進制數(shù)據(jù)桶至，則需要使用BASE64編碼.

maxAge：cookie失效時間昼伴，單位秒。如果為正數(shù)镣屹，則該cookie在maxAge后失效圃郊。如果為負數(shù)，該cookie為臨時cookie女蜈，關(guān)閉瀏覽器即失效持舆，瀏覽器也不會以任何形式保存該cookie。如果為0伪窖，表示刪除該cookie吏廉。默認為-1

path：該cookie的使用路徑。如果設(shè)置為"/sessionWeb/"惰许，則只有ContextPath為“/sessionWeb/”的程序可以訪問該cookie。如果設(shè)置為“/”史辙，則本域名下ContextPath都可以訪問該cookie汹买。

domain:域.可以訪問該Cookie的域名佩伤。第一個字符必須為".",如果設(shè)置為".google.com",則所有以"google.com結(jié)尾的域名都可以訪問該cookie",如果不設(shè)置,則為所有域名

secure：該cookie是否僅被使用安全協(xié)議傳輸。

cookie的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務(wù)器晦毙。瀏覽器檢查所有存儲的cookie生巡，如果某個cookie所聲明的作用范圍大于等于將要請求的資源所在的位置，則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務(wù)器.

Session機制

Session機制是一種服務(wù)端的機制见妒，服務(wù)器使用一種類似散列表的結(jié)構(gòu)來保存信息孤荣。當程序需要為某個客戶端的請求創(chuàng)建一個session的時候，服務(wù)器首先檢查這個客戶端里的請求里是否已包含了一個session標識--sessionID须揣，如果已經(jīng)包含一個sessionID盐股，則說明以前已經(jīng)為此客戶端創(chuàng)建過session，服務(wù)器就按照sessionID把這個session檢索出來使用（檢索不到耻卡，可能會新建一個）疯汁，如果客戶端請求不包含sessionID，則為此客戶端創(chuàng)建一個session并且聲稱一個與此session相關(guān)聯(lián)的sessionID卵酪，sessionID的值應(yīng)該是一個既不會重復(fù)幌蚊，又不容易被找到規(guī)律以仿造的字符串(服務(wù)器會自動創(chuàng)建),這個sessionID將被在本次響應(yīng)中返回給客戶端保存。

保存sessionID的方式

1溃卡，使用Cookie.此時Cookie不再用作認證,只是作為載體,存儲sessionID

2溢豆，URL重寫：因為cookie可以被人為禁止，所以為了保證sessionID能夠被傳遞給服務(wù)器瘸羡，使用URL重寫也是一種解決方法漩仙。如,

href="<%=response.encodeURL("index.jsp") %>"

寫好后URL是這樣的

href="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E"

3, 隱藏表單提交.將sessionId放在隱藏表單中

實際上這幾種方式最方便的還是cookie,其他兩種方式都各有弊端,URL重寫的弊端是要對所有的URL都重寫,非常繁瑣.表單隱藏字段的弊端是只能局限于表單提交,如果是單純的文本鏈接則不能提供會話跟蹤

Cookie和Session之間的區(qū)別

1.Cookie數(shù)據(jù)存放在客戶的瀏覽器(本地),session數(shù)據(jù)放在服務(wù)器上

2.Cookie不如session安全，別人可以分析存放在本地的Cookie并進行Cookie欺騙,所以出于安全性的考慮應(yīng)當使用Session

3.Session會在一定時間內(nèi)保存在服務(wù)器上最铁。當訪問增多,會占用較多的服務(wù)器資源,所以出于性能考慮則應(yīng)當使用cookie

單個cookie保存的數(shù)據(jù)不能超過4k,很多瀏覽器都限制一個站點最多保存20個cookie.實際上為了性能考慮,不論是cookie還是session,其中的信息都應(yīng)當短小精悍

session因為是保存在服務(wù)器上,所以不支持跨域的訪問

3.擴展思考

使用cookie和session的具體場景

一般來說,登陸驗證信息,客戶的私人信息,如姓名,電話等,應(yīng)該放在Session中.Cookie則用于用戶登陸網(wǎng)站時的自動登陸以及類似"購物車"的處理.使用Cookie保存信息時最好通過加密形式來保存數(shù)據(jù),同時是否保存登陸信息,需要由用戶自行選擇

4.參考文獻

參考一：Cookie Session機制詳解?

參考二：淺談Session與Cookie的區(qū)別與聯(lián)系