老生常談Session和Cookie之間區(qū)別與聯(lián)系(必看篇)

一. 概念理解

你可能有留意到當(dāng)你瀏覽網(wǎng)頁時，會有一些推送消息，大多數(shù)是你最近留意過的同類東西，比如你想買桌子，上淘寶搜了一下，結(jié)果連著幾天會有各種各樣的桌子的鏈接。這是因為

你瀏覽某個網(wǎng)頁的時候，WEB 服務(wù)器會先送一些資料放在你的計算機上，類似于你打的文字，選的一些東西什么的，Cookie 會幫你都紀錄下來。當(dāng)下次你再光臨同一個網(wǎng)站，WEB

服務(wù)器會先看看有沒有它上次留下的 Cookie 資料，有的話，就會依據(jù) Cookie里的內(nèi)容來判斷使用者，送出特定的網(wǎng)頁內(nèi)容給你。 Cookie 的使用很普遍，許多有提供個人化服務(wù)的

網(wǎng)站，都是利用 Cookie來辨認使用者，以方便送出使用者量身定做的內(nèi)容。

然而，cookie是什么呢？session又是什么？

先來了解幾個概念。

1、無狀態(tài)的HTTP協(xié)議：

協(xié)議是指計算機通信網(wǎng)絡(luò)中兩臺計算機之間進行通信所必須共同遵守的規(guī)定或規(guī)則，超文本傳輸協(xié)議(HTTP)是一種通信協(xié)議，它允許將超文本標記語言(HTML)文檔從Web服務(wù)器

傳送到客戶端的瀏覽器。

HTTP協(xié)議是無狀態(tài)的協(xié)議。一旦數(shù)據(jù)交換完畢，客戶端與服務(wù)器端的連接就會關(guān)閉，再次交換數(shù)據(jù)需要建立新的連接。這就意味著服務(wù)器無法從連接上跟蹤會話。

2、會話（Session）跟蹤：

會話，指用戶登錄網(wǎng)站后的一系列動作，比如瀏覽商品添加到購物車并購買。會話（Session）跟蹤是Web程序中常用的技術(shù)，用來跟蹤用戶的整個會話。常用的會話跟蹤技術(shù)

是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份，Session通過在服務(wù)器端記錄信息確定用戶身份。

二. Cookie

由于HTTP是一種無狀態(tài)的協(xié)議，服務(wù)器單從網(wǎng)絡(luò)連接上無從知道客戶身份。用戶A購買了一件商品放入購物車內(nèi)，當(dāng)再次購買商品時服務(wù)器已經(jīng)無法判斷該購買行為是屬于用戶A的

會話還是用戶B的會話了。怎么辦呢？就給客戶端們頒發(fā)一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣服務(wù)器就能從通行證上確認客戶身份了。這就是Cookie

的工作原理。

Cookie實際上是一小段的文本信息。客戶端請求服務(wù)器，如果服務(wù)器需要記錄該用戶狀態(tài)，就使用response向客戶端瀏覽器頒發(fā)一個Cookie。客戶端會把Cookie保存起來。

當(dāng)瀏覽器再請求該網(wǎng)站時，瀏覽器把請求的網(wǎng)址連同該Cookie一同提交給服務(wù)器。服務(wù)器檢查該Cookie，以此來辨認用戶狀態(tài)。服務(wù)器還可以根據(jù)需要修改Cookie的內(nèi)容。

1、cookie的內(nèi)容主要包括：名字，值，過期時間，路徑和域。路徑與域一起構(gòu)成cookie的作用范圍。

1）Name 和 Value 屬性由程序設(shè)定,默認值都是空引用。

2）Domain屬性的默認值為當(dāng)前URL的域名部分，不管發(fā)出這個cookie的頁面在哪個目錄下的。

3）Path屬性的默認值是根目錄，即 ”/” ，不管發(fā)出這個cookie的頁面在哪個目錄下的。可以由程序設(shè)置為一定的路徑來進一步限制此cookie的作用范圍。

4）Expires 屬性，這個屬性設(shè)置此Cookie 的過期日期和時間。

HttpCookie cookie = new HttpCookie("MyCook");//初使化并設(shè)置Cookie的名稱
DateTime dt = DateTime.Now;
TimeSpan ts = new TimeSpan(0, 0, 1, 0, 0);//過期時間為1分鐘
cookie.Expires = dt.Add(ts);//設(shè)置過期時間
cookie.Values.Add("userid", "value");
cookie.Values.Add("userid2", "value2");
Response.AppendCookie(cookie);

2、Path和Domain屬性

--path:　　

如果http://www.china.com/test/index.html 建立了一個cookie，那么在http://www.china.com/test/目錄里的所有頁面，以及該目錄下面任何子目錄里

的頁面都可以訪問這個cookie。這就是說，在http://www.china.com/test/test2/test3 里的任何頁面都可以訪問http://www.china.com/test/index.html

建立的cookie。但是，如果http://www.china.com/test/ 需要訪問http://www.china.com/test/index.html設(shè)置的cookes，該怎么辦？

這時，我們要把cookies的path屬性設(shè)置成“/”。在指定路徑的時候，凡是來自同一服務(wù)器，URL里有相同路徑的所有WEB頁面都可以共享cookies。

--Domain:

比如： http://www.baidu.com/xxx/login.aspx 頁面中發(fā)出一個cookie，Domain屬性缺省就是www.baidu.com ，可以由程序設(shè)置此屬性為需要的值。　　

值是域名，比如www.china.com。這是對path路徑屬性的一個延伸。如果我們想讓 www.china.com能夠訪問bbs.china.com設(shè)置的cookies，該怎么辦? 我們可以把

domain屬性設(shè)置成“china.com”， 并把path屬性設(shè)置成“/”。

3、會話Cookie和持久Cookie

若不設(shè)置過期時間，則表示這個cookie的生命期為瀏覽器會話期間，關(guān)閉瀏覽器窗口，cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在

硬盤上而是保存在內(nèi)存里，當(dāng)然這種行為并不是規(guī)范規(guī)定的。

若設(shè)置了過期時間，瀏覽器就會把cookie保存到硬盤上，關(guān)閉后再次打開瀏覽器，這些cookie仍然有效直到超過設(shè)定的過期時間。存儲在硬盤上的cookie可以在瀏覽器的不同進程間共享。

這種稱為持久Cookie。

4、Cookie具有不可跨域名性

就是說，瀏覽器訪問百度不會帶上谷歌的cookie。

三. Session

Session是另一種記錄客戶狀態(tài)的機制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務(wù)器上?？蛻舳藶g覽器訪問服務(wù)器的時候，服務(wù)器把客戶端信息以某種形式記錄

在服務(wù)器上。這就是Session?？蛻舳藶g覽器再次訪問時只需要從該Session中查找該客戶的狀態(tài)就可以了。

每個用戶訪問服務(wù)器都會建立一個session，那服務(wù)器是怎么標識用戶的唯一身份呢？事實上，用戶與服務(wù)器建立連接的同時，服務(wù)器會自動為其分配一個SessionId。

1、兩個問題：

1）什么東西可以讓你每次請求都把SessionId自動帶到服務(wù)器呢？顯然就是cookie了，如果你想為用戶建立一次會話，可以在用戶授權(quán)成功時給他一個唯一的cookie。當(dāng)一個

用戶提交了表單時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中，（這是瀏覽器的自動功能，用戶不會察覺到），當(dāng)服務(wù)器處理完這個表單后，將結(jié)果返回給SessionId

所對應(yīng)的用戶。試想，如果沒有 SessionId，當(dāng)有兩個用戶同時進行注冊時，服務(wù)器怎樣才能知道到底是哪個用戶提交了哪個表單呢。

2）儲存需要的信息。服務(wù)器通過SessionId作為key，讀寫到對應(yīng)的value，這就達到了保持會話信息的目的。

2、session的創(chuàng)建：

當(dāng)程序需要為某個客戶端的請求創(chuàng)建一個session時，服務(wù)器首先檢查這個客戶端的請求里是否已包含了sessionId，如果已包含則說明以前已經(jīng)為此客戶端創(chuàng)建過session，服務(wù)

器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個），如果客戶端請求不包含sessionId，則為此客戶端創(chuàng)建一個session并且生成一個與此session相關(guān)

聯(lián)的sessionId，sessionId的值是一個既不會重復(fù)，又不容易被找到規(guī)律以仿造的字符串，這個sessionId將被在本次響應(yīng)中返回給客戶端保存。

3、禁用cookie：

如果客戶端禁用了cookie，通常有兩種方法實現(xiàn)session而不依賴cookie。

1）URL重寫，就是把sessionId直接附加在URL路徑的后面。

2）表單隱藏字段。就是服務(wù)器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞回服務(wù)器。比如：

form name="testform" action="/xxx"> 
input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
input type="text"> 
/form> 

4、Session共享：

對于多網(wǎng)站(同一父域不同子域)單服務(wù)器，我們需要解決的就是來自不同網(wǎng)站之間SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com)，而SessionId又分別儲存

在各自的cookie中，因此服務(wù)器會認為對于兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達到cookie共享的目的,從而實現(xiàn)SessionId的共

享。帶來的弊端就是，子站間的cookie信息也同時被共享了。

四. 總結(jié)

1、cookie數(shù)據(jù)存放在客戶的瀏覽器上，session數(shù)據(jù)放在服務(wù)器上。

2、cookie不是很安全，別人可以分析存放在本地的cookie并進行cookie欺騙，考慮到安全應(yīng)當(dāng)使用session。

3、session會在一定時間內(nèi)保存在服務(wù)器上。當(dāng)訪問增多，會比較占用你服務(wù)器的性能，考慮到減輕服務(wù)器性能方面，應(yīng)當(dāng)使用cookie。

4、單個cookie保存的數(shù)據(jù)不能超過4K，很多瀏覽器都限制一個站點最多保存20個cookie。

5、可以考慮將登陸信息等重要信息存放為session，其他信息如果需要保留，可以放在cookie中。

以上這篇老生常談Session和Cookie之間區(qū)別與聯(lián)系(必看篇)就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。