1. 由來
long long ago……焊夸,在以前瀏覽器只是用來查看文檔的,并沒有其它增刪改的之類的操作蓝角。后來萬惡的產(chǎn)品經(jīng)理提出了各種奇葩的需求阱穗,為了解決產(chǎn)品經(jīng)理的特殊需求,引入了cookie和session的概念使鹅,用來保存HTTP的請(qǐng)求狀態(tài)揪阶。
(PS:比如你增加一個(gè)東西,我可以記錄cookie或session并徘。你刪除一個(gè)東西我也可以刪除一個(gè)cookie或者session遣钳。而cookie是存儲(chǔ)在你本地,session是存儲(chǔ)在服務(wù)器上的)
2. 奇葩需求
用戶所做的操作配置麦乞,換了另外一臺(tái)電腦能繼續(xù)使用原來的配置
3. 方案一
把用戶的所有配置信息都存儲(chǔ)在cookie里蕴茴,用戶在換電腦后,重新復(fù)制以前的cookie到現(xiàn)在電腦上的瀏覽器里姐直。
4. 發(fā)現(xiàn)問題
第一種方案雖然也可行倦淀,但是數(shù)據(jù)存在用戶這里太多了,容易丟声畏,或者被篡改撞叽,而且操作也很麻煩,用戶體驗(yàn)不友好插龄。
5. 方案二
把用戶配置信息存儲(chǔ)到服務(wù)器上愿棋,生成一個(gè)唯一ID(sessionID)給用戶,用戶下次使用這個(gè)唯一ID可以直接來服務(wù)器上拿數(shù)據(jù)均牢。
6. 發(fā)現(xiàn)問題
然后你可能就會(huì)發(fā)現(xiàn)了糠雨,其實(shí)其他人也是可以拿這個(gè)唯一的ID進(jìn)行冒充。比如你在取錢的路上徘跪,被劫匪打劫了銀行卡甘邀,順便還劫了個(gè)色。然后拿著你的銀行卡就可以取錢了垮庐,不管是不是你本人松邪。
7. 解決問題
所以為了保護(hù)你在取錢的路上不被打劫,所以銀行(服務(wù)器)需要一隊(duì)武裝部隊(duì)進(jìn)行護(hù)送你(HTTPS)哨查,銀行要配備武裝部隊(duì)逗抑,你需要去服務(wù)商那拿個(gè)個(gè)證書(不要以為可以免費(fèi)請(qǐng)到武裝部隊(duì),所以還是資金的問題),但是這個(gè)問題被摒棄了锋八。
8. 最終方案
目前先使用方案二浙于,因?yàn)閹蛣e人保管,比讓用戶保管好的多挟纱。傳輸一個(gè)cookie給服務(wù)器上,獲取session信息腐宋。比傳輸多個(gè)cookie好的多紊服。
9. 行動(dòng)需求
session保證唯一。(我不管你怎么實(shí)現(xiàn)胸竞,反正你給我保證唯一就行)
10. 存儲(chǔ)方案
前期需求欺嗤,先存儲(chǔ)在內(nèi)存,省時(shí)省力卫枝,還不需要另外花錢買配置煎饼。二次開發(fā)后,在考慮存儲(chǔ)在數(shù)據(jù)庫校赤,緩存之類的吆玖,反正到時(shí)候在說,萬一還沒上線就死了呢马篮。
11. 安全需求
前期項(xiàng)目人員緊缺沾乘,資金匱乏,咱們先怎么簡(jiǎn)單怎么來浑测,那就明文傳輸吧翅阵。(所以這就是這么多坑的原因了?程序猿:“這鍋我不背”)
12. 實(shí)行方案
- 瀏覽器第一次請(qǐng)求網(wǎng)站迁央, 服務(wù)端生成 Session ID掷匠。
- 把生成的 Session ID 保存到服務(wù)端存儲(chǔ)中。
- 把生成的 Session ID 返回給瀏覽器岖圈,通過 set-cookie讹语。
- 瀏覽器收到 Session ID, 在下一次發(fā)送請(qǐng)求時(shí)就會(huì)帶上這個(gè) Session ID幅狮。
- 服務(wù)端收到瀏覽器發(fā)來的 Session ID募强,從 Session 存儲(chǔ)中找到用戶狀態(tài)數(shù)據(jù),會(huì)話建立崇摄。
- 此后的請(qǐng)求都會(huì)交換這個(gè) Session ID集侯,進(jìn)行有狀態(tài)的會(huì)話。
(復(fù)制的冀墨,懶得寫了钥屈,反正意思就是,你想要工資,就帶上你的身份證過來我這进每,我接過從你手(cookie)里面給我的身份證(sessionID)汹粤,我從文檔庫(服務(wù)器)里找到你的員工資料(session信息),然后在給你工資田晚。沒有你員工信息的話嘱兼,你可以考慮先入個(gè)職啥的,給你辦個(gè)身份證贤徒,然后下次就可以過來拿工資芹壕,咋樣考慮下唄)
13. 項(xiàng)目總結(jié)
不管是存儲(chǔ)在cookie里,還是存儲(chǔ)在session里接奈,都可以實(shí)現(xiàn)需求踢涌,但是具體使用哪種實(shí)現(xiàn)就看需求了。但是使用方案二的session的時(shí)候會(huì)依賴與瀏覽器的cookie
14. cookie和session的區(qū)別
- cookie是存儲(chǔ)在本地的序宦,所以可以離線使用睁壁。而session是存儲(chǔ)在服務(wù)器的,安全更高些互捌。
- cookie容易被篡改數(shù)據(jù)潘明。而session在明文傳輸?shù)臅r(shí)候容易被劫持唯一ID,冒充用戶疫剃。
- session依賴與cookie钉疫,而cookie不需要依賴與session。
學(xué)到了一個(gè)新詞巢价,不吝斧正
