专栏首页软件测试经验与教训session与cookie的区别详解

session与cookie的区别详解

session与cookie

由于HTTP协议是无状态的,在WEB系统中,怎么识别请求来自于哪里呢?是哪一个用户发起的请求呢?

为了解决这一个问题,HTTP协议引入了cookie和session这两个概念。

cookie是什么呢?

cookie是服务器传递到浏览器,保存在浏览器中的数据,然后浏览器每次请求都带上cookie,这样就可以标识用哪一个用户发起的请求, 比如说把用户登录的用户名和密码保存在cookie中, 只要cookie没有过期,以后用户每次登录都可以自动登录了,不需要再次输入用户名和密码, 因为浏览器在发起请求的时候已经把cookie中的用户名和密码传递给服务器了。

session是什么呢?

session把用户的信息保存在服务器上面, 浏览器第一次访问的时候服务器把sessionID传递到浏览器,然后浏览器把Session_id保存在cookie中, 每次访问把session_id带上,服务器就可以标识这个请求来自于那个用户,然后根据session_id查这个这个用户的seesion里面记录了哪些数据。

会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式session机制。session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。

当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,这个session id将被在本次响应中返回给客户端保存。保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止,所以必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。其中一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如:

<form name="testform" action="/xxx">

<input type="hidden" name="sessionid" value="ByOK3vjFD-145788764">

<input type="text">

</form>

cookie 和session 的比较:

  • 都是为了用来记录用户状态。
  • cookie数据存放在客户的浏览器上,session数据放在服务器上。
  • cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗。
  • session会在一定时间内保存在服务器上。当访问增多,对服务器产生较大压力。
  • 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
  • 所以一般做法是:将登录信息等重要信息存放为session,其他需要保留的信息放在cookie中。

本文分享自微信公众号 - 软件测试经验与教训(udatest)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python 异常处理

    张树臣
  • 产品专员面试流程及经验(附HR点评)

    张树臣
  • 字符过滤下的攻击:标签事件绕过

    1、简单的字符过滤,可以通过双写绕过,但是稍微改写一下preg_replace()里的参数,就可以轻松让双写绕过变得不可能;

    张树臣
  • cssjshtml session和cookie的区别

    当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择,

    葫芦
  • flask中cookie和session介绍

    在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决...

    小麦苗DBA宝典
  • 彻底解决小程序无法触发SESSION问题

    最近又回头看了一下小程序, 因为小程序是通过微信服务器触发我们服务器, 所以每次请求获取到的session_id都不同, 导致小程序中无法获取或触发sessio...

    iOSSir
  • web接口测试学习笔记---基础概念篇

    http 是无状态的连接协议,随着互联网的发展,无状态协议已经无法满足需求了。后来就发展出了cookie来解决无状态连接协议的缺点. cookie 是服务器创...

    qsjs
  • 分布式服务集群下实现session共享解决方案

    随着互联网的日益壮大,网站的pv和uv成线性或者指数倍的增加.单服务器单数据库早已经不能满足实际需求。目前大多数大型网站的服务器都采用了分布式服务集群...

    码神联盟
  • 全面了解cookie和session

    http即超文本传输协议(万维网定义的),一种基于浏览器请求与服务器响应的链接,它是一个很纯粹的传输协议。http协议主要的特征就是它是一种无状态的协议(只针对...

    py3study
  • others

    http协议是无状态的通信协议,不会维持,每次请求后就会关闭,多以需要我们来维护用户的登录状态。维护用户的登录状态(或者说标识用户的身份信息或记录会话信息)有三...

    yawn

扫码关注云+社区

领取腾讯云代金券