关于session和cookie

Posted 2020-11-29 nanhuaqiushui

cookie 和 session

摘自《前端大牛爱好者-一文彻底搞懂cookie和session》

为什么需要？

• http协议为无状态的，因此服务器无法知道是谁在浏览网页，但某些网页需要知道用户的状态，例如登录、购物车等
• 解决方案：隐藏表单域、url重写、cookie和session

关于cookie

• cookie是服务器传给客户端并保存在客户端的一段信息
• 服务器将一些key/value键值对返给客户端浏览器，并添加一些限制条件
• 条件符合时，该用户在下次访问这个服务器时，数据通过请求头被完整的带回服务器
• 服务器根据这些信息判断不同的用户
• cookie有大小和数量限制，客户端和服务器传输量越大，cookie越多

cookie分类

• 会话级cookie:浏览器关闭之后Cookie失效
• 持久级cookie:保存在硬盘的cookie,只要设置了过期时间就是硬盘级别cookie

关于session

session是基于cookie来工作的。服务器与客户端之间每次不必传输所有cookie值，而是传递一个代表不同cookie的唯一id.服务器端将cookie值与唯一id统一维护，通过id的传递就可以准确检索到对应的cookie值，既解决了服务器与客户端之间传递用户信息的需求，又解决了cookie传输量过大的引起的性能问题以及cookie泄露等安全问题。

传递session的方式

• 通过url传递sessionId
• 通过cookie传递SessionId
• 通过ssl传递sessionId
• 通过隐藏表单传递sessionId

session工作原理

• 创建session
• session保存
• session的销毁：session的生命周期是从创建到超时过期，浏览器关闭只是关闭了会话级的cookie，而sessionid对应的session并没有被销毁。

两者异同

• Session和Cookie都是为了让http协议有状态而存在
• Session通过Cookie工作，Cookie传输的SessionID让Session知道这个客户端是谁

不同点

• Session将信息保存在服务器中，Cookie将信息保存在客户端中

session工作流

• 浏览器第一次访问服务器时，服务器创建Session
• 通过Cookie将SessionID带给浏览器保存在客户端
• 服务器根据业务逻辑将相应的客户端信息保存在session中
• 客户端再访问时上传cookie
• 服务器得到cookie中的sessionID,来维护存在session中的客户端信息。