Cookie和Session

Posted 2021-01-15 quixotey

在很多博文里面都会看到：http是无状态的协议，

这个无状态是什么意思呢：服务器不会保留当前的访问状态，浏览器的每一次请求都是孤立的, 缺少状态意味着如果后续处理需要前面的信息，那每一次的连接都需要传送大量的重复的内容信息

在一个动态的web里面，交互是必要的，所以我们就需要去保存当前的访问状态

那么那该如何来保留这个状态呢，就会用到今天要讲的主题Session和cookie

 

cookie是什么？

浏览器访问服务器，服务器给你的一个小片段  

它是完成会话跟踪的一种机制，采用的是在客户端保持Http状态信息的方案

底层的实现原理（实际上也不是什么底层啦）

web服务器在http响应消息加上了set-Cookie响应 头，浏览器在http请求消息中增加Cookie请求字头把cookie回传给服务器

关于cookie的一些事情

一个cookie的大小不可以超过4kb，至少含有一个标示信息的name和value

 

Cooki相关的api

一.写入cookie

1.创建cookie对象

2.持久化cookie

setMaxAge，表示cookie储存的时间，（保存在硬盘里）

3.如何把cookie传给客户端

调用response方法

response.addCookie();就可以了

4.Cookie的作用范围：可以用于当前目录和当前目录的子目录，但不能作用于上一级目录

 

二. 获取cookie

Cookie [] cookies=request.getCookies();

 

 三.会话cookie和持久 cookie的区别

不设置过期时间的话，cookie的生命周期只在浏览器的会话期间，关闭窗口，cookie就消失了

这个就是会话cookie，只保存在内存里面

而上面说过的持久cookie，会把cookie保存在硬盘上

 

什么是session呢？

会话，从打开浏览器访问一个网站开始，无论打开了多少页面，点击了多少链接，都属于同一个会话

session是在服务器端保持http状态的方案

它是浏览器和服务器之间的一系列请求和响应过程

同一个会话中的请求都带有表示号，sessionID

 

session对象保存数据的方式，有点像Map的键值对，服务器使用了一个类似于散列表的结构来保存信息

当创建session的时候会发什么呢？检查客户端的请求里面是否包含sessionID，如果有就检索出来使用。如果没有就创建一个新的session，并且返回一个sessionID给客户端保存。

session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个cookie的名字都是类似于SEEESIONID。

但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。

经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。

还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如： 

<form name="testform" action="/xxx"> 

<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 

<input type="text"> 

</form> 

 

实际上这种技术可以简单的用对action应用URL重写来代替。

 

那么session和cookie的关系是怎么样的呢？

储物柜和钥匙的关系

 

在没有cookie的时候session该如何工作？

每一次的访问都会生成一个新的session对象

response.encodeURL（“getSession.jsp”）;

 

这个方法会把这个url转换为sessionid然后提交到服务器

 

一点总结

1.cookie并不是非常安全的，它是存放在本地的

可以利用本地的cookie进行cookie欺骗

例如CSRF攻击

2.由于session是放在服务器上的，如果访问增多的时候，会拖累服务器性能

（但是个人理解不需要考虑那么多，自动登录放cookie就好，其他通通session