关于cookie和session的一些理解

目录

• 一、HTTP:无状态应用协议
  • 1.无状态指的是什么
  • 2.重传的优缺点
  • 3.解决重传问题
• 二、Cookie和session的使用
  • 1.Cookie
  • 2.session
• 三、总结：Cookie和session
• 四、Cookie与session的区别

一、HTTP:无状态应用协议

超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。

HTTP协议是无状态的应用协议。

1.无状态指的是什么

1）服务器对事物的处理没有记忆能力，服务器不知道客户端是什么状态。

客户端向服务器发送HTTP请求，服务器回应之后，服务器本身不会有任何记录。

2）每个HTTP请求都是独立的。

一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。

这就意味着服务器无法从连接上跟踪用户登录网站后的一系列动作，这一系列动作我们称之为会话，比如浏览商品添加到购物车并购买。

2.重传的优缺点

服务器处理一些后续请求的时候需要用到前面请求的信息，需要客户端给我进行重传。

优点：释放了服务器的压力。（服务器不需要做保留信息的动作）

缺点：重传，传的都是重复内容，增大数据传输量，降低网络效率，造成资源的浪费。

客户端和服务器之间的动态交互越来越突出：

比如登录--充值，需要使用登录之后的信息，才能进行充值。

3.解决重传问题

后续的操作都需要知道前面的内容，又不能一直让它重传。

会话跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与session。

二、Cookie和session的使用

1.Cookie

1）什么是Cookie？

Cookie：将前面的请求信息保存成一个临时文件，叫做Cookie值。这个临时文件存放在浏览器里面。

2）什么样的时候会保存这样一个临时文件？

不同的页面挑选不同的商品放进购物车，这些商品的信息都会写进Cookie里面。

登录后进行充值，所以每次进行充值时都要先获取登录的信息。把登录的账号信息保留在Cookie值里面。

下次做充值就可以直接做了，不需要重复登录了。这样就简化了登录的手续，方便用户的操作。

3）Cookie能被删除

Cookie是个临时文件，每次关闭浏览器后，文件会被删除。

手动删除Cookie：浏览器里面有个清除浏览数据，可以把Cookie信息进行清除。

4）工作原理

Cookie实际上是一小段的文本信息。

在客户端请求服务器时，如果服务器需要记录该用户状态，如用户信息等，就使用response向客户端浏览器颁发一个Cookie。

客户端会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。

服务器检查该Cookie，以此来辨认用户状态。

工作原理如下：

图片来自网络

1. 客户端第一次向服务器发起请求。
2. 服务器准备一个cookie，将需缓存的内容设置到cookie中。
3. 服务器将请求响应结果与cookie一起回馈给客户端。
4. 客户端处理请求的响应与读取cookie。
5. 客户端再次向服务器发送请求。
6. 服务器检查传来的cookie，辨认状态，并返回响应结果。

2.session

1）什么是session

session：永久的Cookie值。

session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而session保存在服务器上。

客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。

当客户端浏览器再次访问服务器时，服务器只需要从该session中查找该客户的状态就可以了。

2）session ID

每个用户访问服务器都会建立一个session，那服务器是怎么标识用户的唯一身份呢？

事实上，用户与服务器建立连接的同时，服务器会自动为其分配一个session ID（会话编号）。

把会话的信息保存在服务器上。同时将session ID传递给客户端。

客户端用来接收的一般是浏览器。浏览器将session ID保存在内存里面，所以不会轻易删除。

浏览器每次连接都会加上session ID，服务器会根据session ID获取客户端的数据信息。

浏览器关闭，服务器保存的session ID是不会被立即释放的。

这个数据依然存在，只要知道session ID，就可以继续通过这个请求去获取这个session的信息。

3）设置session的超时时间

session一直存在，也是会存在资源占用的问题。所以设置session的超时时间。

一旦超过这个时间，客户端没有新的请求过来，服务器就会清除这个session对应的session ID。这个session都会被清除。

后面再去发请求的话就要重新创建会话。

4）工作原理

工作原理如下：

图片来自网络

cookie里面有session_id

cookie里面有session_id

1. 客户端第一次向服务器发起请求。
2. 服务器创建一个新的session，生成session ID，并把这次请求的信息放入到session中。
3. 服务器将生成的session ID放在一个cookie中与响应一起返回给客户端浏览器。
4. 客户端再次访问该网页，将浏览器中存储的session ID发送到服务器中。
5. 服务器把该session ID与所有的session ID进行比较，找到对应的session，并将内容取出。

三、总结：Cookie和session

（1）Cookie在客户端（浏览器保存）,在服务端创建(Cookie cookie=new Cookie(“uname”,”username”)),然后返回客户端。

客户端每次请求request中都带着cookie去找服务端，所以cookie不可太大。request.getCookies()方法得到cookie[]数组，遍历得到相应的cookie。

（2）session在服务端保存，客户端第一次访问服务端（任意一个jsp）时，响应response回客户端时会产生一个session ID带回到客户端即一个cookie，以后每次客户端请求时都会带着这个session ID（cookie）。

所以服务端会认识这个请求，这个session ID就相当于这个用户的唯一身份证，它的每次请求都有相同的session ID。

服务端可以从request中识别session ID。进而用request.getSession()从当前request中获取session。

如果获取不到session，则会自动创建一个session，并返回新创建的session；如果获取到，则返回获取到的session。

四、Cookie与session的区别:

1. cookie数据存放在客户的浏览器上，session数据放在服务器上。
2. cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。
3. session会在一定时间内保存在服务器上。当访问的用户增多，会比较占用你服务器的性能，考虑到减少对服务器性能的占用，应当使用cookie。
4. 单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。
5. 可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。