老生常談Session和Cookie之間區(qū)別與聯(lián)系(必看篇)

一. 概念理解

你可能有留意到當(dāng)你瀏覽網(wǎng)頁(yè)時(shí)，會(huì)有一些推送消息，大多數(shù)是你最近留意過(guò)的同類東西，比如你想買桌子，上淘寶搜了一下，結(jié)果連著幾天會(huì)有各種各樣的桌子的鏈接。這是因?yàn)?/p>

你瀏覽某個(gè)網(wǎng)頁(yè)的時(shí)候，WEB 服務(wù)器會(huì)先送一些資料放在你的計(jì)算機(jī)上，類似于你打的文字，選的一些東西什么的，Cookie 會(huì)幫你都紀(jì)錄下來(lái)。當(dāng)下次你再光臨同一個(gè)網(wǎng)站，WEB

服務(wù)器會(huì)先看看有沒(méi)有它上次留下的 Cookie 資料，有的話，就會(huì)依據(jù) Cookie里的內(nèi)容來(lái)判斷使用者，送出特定的網(wǎng)頁(yè)內(nèi)容給你。 Cookie 的使用很普遍，許多有提供個(gè)人化服務(wù)的

網(wǎng)站，都是利用 Cookie來(lái)辨認(rèn)使用者，以方便送出使用者量身定做的內(nèi)容。

然而，cookie是什么呢？session又是什么？

先來(lái)了解幾個(gè)概念。

1、無(wú)狀態(tài)的HTTP協(xié)議：

協(xié)議是指計(jì)算機(jī)通信網(wǎng)絡(luò)中兩臺(tái)計(jì)算機(jī)之間進(jìn)行通信所必須共同遵守的規(guī)定或規(guī)則，超文本傳輸協(xié)議(HTTP)是一種通信協(xié)議，它允許將超文本標(biāo)記語(yǔ)言(HTML)文檔從Web服務(wù)器

傳送到客戶端的瀏覽器。

HTTP協(xié)議是無(wú)狀態(tài)的協(xié)議。一旦數(shù)據(jù)交換完畢，客戶端與服務(wù)器端的連接就會(huì)關(guān)閉，再次交換數(shù)據(jù)需要建立新的連接。這就意味著服務(wù)器無(wú)法從連接上跟蹤會(huì)話。

2、會(huì)話（Session）跟蹤：

會(huì)話，指用戶登錄網(wǎng)站后的一系列動(dòng)作，比如瀏覽商品添加到購(gòu)物車并購(gòu)買。會(huì)話（Session）跟蹤是Web程序中常用的技術(shù)，用來(lái)跟蹤用戶的整個(gè)會(huì)話。常用的會(huì)話跟蹤技術(shù)

是Cookie與Session。Cookie通過(guò)在客戶端記錄信息確定用戶身份，Session通過(guò)在服務(wù)器端記錄信息確定用戶身份。

二. Cookie

由于HTTP是一種無(wú)狀態(tài)的協(xié)議，服務(wù)器單從網(wǎng)絡(luò)連接上無(wú)從知道客戶身份。用戶A購(gòu)買了一件商品放入購(gòu)物車內(nèi)，當(dāng)再次購(gòu)買商品時(shí)服務(wù)器已經(jīng)無(wú)法判斷該購(gòu)買行為是屬于用戶A的

會(huì)話還是用戶B的會(huì)話了。怎么辦呢？就給客戶端們頒發(fā)一個(gè)通行證吧，每人一個(gè)，無(wú)論誰(shuí)訪問(wèn)都必須攜帶自己通行證。這樣服務(wù)器就能從通行證上確認(rèn)客戶身份了。這就是Cookie

的工作原理。

Cookie實(shí)際上是一小段的文本信息?？蛻舳苏?qǐng)求服務(wù)器，如果服務(wù)器需要記錄該用戶狀態(tài)，就使用response向客戶端瀏覽器頒發(fā)一個(gè)Cookie。客戶端會(huì)把Cookie保存起來(lái)。

當(dāng)瀏覽器再請(qǐng)求該網(wǎng)站時(shí)，瀏覽器把請(qǐng)求的網(wǎng)址連同該Cookie一同提交給服務(wù)器。服務(wù)器檢查該Cookie，以此來(lái)辨認(rèn)用戶狀態(tài)。服務(wù)器還可以根據(jù)需要修改Cookie的內(nèi)容。

1、cookie的內(nèi)容主要包括：名字，值，過(guò)期時(shí)間，路徑和域。路徑與域一起構(gòu)成cookie的作用范圍。

1）Name 和 Value 屬性由程序設(shè)定,默認(rèn)值都是空引用。

2）Domain屬性的默認(rèn)值為當(dāng)前URL的域名部分，不管發(fā)出這個(gè)cookie的頁(yè)面在哪個(gè)目錄下的。

3）Path屬性的默認(rèn)值是根目錄，即 ”/” ，不管發(fā)出這個(gè)cookie的頁(yè)面在哪個(gè)目錄下的?？梢杂沙绦蛟O(shè)置為一定的路徑來(lái)進(jìn)一步限制此cookie的作用范圍。

4）Expires 屬性，這個(gè)屬性設(shè)置此Cookie 的過(guò)期日期和時(shí)間。

HttpCookie cookie = new HttpCookie("MyCook");//初使化并設(shè)置Cookie的名稱
DateTime dt = DateTime.Now;
TimeSpan ts = new TimeSpan(0, 0, 1, 0, 0);//過(guò)期時(shí)間為1分鐘
cookie.Expires = dt.Add(ts);//設(shè)置過(guò)期時(shí)間
cookie.Values.Add("userid", "value");
cookie.Values.Add("userid2", "value2");
Response.AppendCookie(cookie);

2、Path和Domain屬性

--path:　　

如果http://www.china.com/test/index.html 建立了一個(gè)cookie，那么在http://www.china.com/test/目錄里的所有頁(yè)面，以及該目錄下面任何子目錄里

的頁(yè)面都可以訪問(wèn)這個(gè)cookie。這就是說(shuō)，在http://www.china.com/test/test2/test3 里的任何頁(yè)面都可以訪問(wèn)http://www.china.com/test/index.html

建立的cookie。但是，如果http://www.china.com/test/ 需要訪問(wèn)http://www.china.com/test/index.html設(shè)置的cookes，該怎么辦？

這時(shí)，我們要把cookies的path屬性設(shè)置成“/”。在指定路徑的時(shí)候，凡是來(lái)自同一服務(wù)器，URL里有相同路徑的所有WEB頁(yè)面都可以共享cookies。

--Domain:

比如： http://www.baidu.com/xxx/login.aspx 頁(yè)面中發(fā)出一個(gè)cookie，Domain屬性缺省就是www.baidu.com ，可以由程序設(shè)置此屬性為需要的值?！　?/p>

值是域名，比如www.china.com。這是對(duì)path路徑屬性的一個(gè)延伸。如果我們想讓 www.china.com能夠訪問(wèn)bbs.china.com設(shè)置的cookies，該怎么辦? 我們可以把

domain屬性設(shè)置成“china.com”， 并把path屬性設(shè)置成“/”。

3、會(huì)話Cookie和持久Cookie

若不設(shè)置過(guò)期時(shí)間，則表示這個(gè)cookie的生命期為瀏覽器會(huì)話期間，關(guān)閉瀏覽器窗口，cookie就消失。這種生命期為瀏覽器會(huì)話期的cookie被稱為會(huì)話cookie。會(huì)話cookie一般不存儲(chǔ)在

硬盤上而是保存在內(nèi)存里，當(dāng)然這種行為并不是規(guī)范規(guī)定的。

若設(shè)置了過(guò)期時(shí)間，瀏覽器就會(huì)把cookie保存到硬盤上，關(guān)閉后再次打開(kāi)瀏覽器，這些cookie仍然有效直到超過(guò)設(shè)定的過(guò)期時(shí)間。存儲(chǔ)在硬盤上的cookie可以在瀏覽器的不同進(jìn)程間共享。

這種稱為持久Cookie。

4、Cookie具有不可跨域名性

就是說(shuō)，瀏覽器訪問(wèn)百度不會(huì)帶上谷歌的cookie。

三. Session

Session是另一種記錄客戶狀態(tài)的機(jī)制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務(wù)器上?？蛻舳藶g覽器訪問(wèn)服務(wù)器的時(shí)候，服務(wù)器把客戶端信息以某種形式記錄

在服務(wù)器上。這就是Session?？蛻舳藶g覽器再次訪問(wèn)時(shí)只需要從該Session中查找該客戶的狀態(tài)就可以了。

每個(gè)用戶訪問(wèn)服務(wù)器都會(huì)建立一個(gè)session，那服務(wù)器是怎么標(biāo)識(shí)用戶的唯一身份呢？事實(shí)上，用戶與服務(wù)器建立連接的同時(shí)，服務(wù)器會(huì)自動(dòng)為其分配一個(gè)SessionId。

1、兩個(gè)問(wèn)題：

1）什么東西可以讓你每次請(qǐng)求都把SessionId自動(dòng)帶到服務(wù)器呢？顯然就是cookie了，如果你想為用戶建立一次會(huì)話，可以在用戶授權(quán)成功時(shí)給他一個(gè)唯一的cookie。當(dāng)一個(gè)

用戶提交了表單時(shí)，瀏覽器會(huì)將用戶的SessionId自動(dòng)附加在HTTP頭信息中，（這是瀏覽器的自動(dòng)功能，用戶不會(huì)察覺(jué)到），當(dāng)服務(wù)器處理完這個(gè)表單后，將結(jié)果返回給SessionId

所對(duì)應(yīng)的用戶。試想，如果沒(méi)有 SessionId，當(dāng)有兩個(gè)用戶同時(shí)進(jìn)行注冊(cè)時(shí)，服務(wù)器怎樣才能知道到底是哪個(gè)用戶提交了哪個(gè)表單呢。

2）儲(chǔ)存需要的信息。服務(wù)器通過(guò)SessionId作為key，讀寫(xiě)到對(duì)應(yīng)的value，這就達(dá)到了保持會(huì)話信息的目的。

2、session的創(chuàng)建：

當(dāng)程序需要為某個(gè)客戶端的請(qǐng)求創(chuàng)建一個(gè)session時(shí)，服務(wù)器首先檢查這個(gè)客戶端的請(qǐng)求里是否已包含了sessionId，如果已包含則說(shuō)明以前已經(jīng)為此客戶端創(chuàng)建過(guò)session，服務(wù)

器就按照sessionId把這個(gè)session檢索出來(lái)使用（檢索不到，會(huì)新建一個(gè)），如果客戶端請(qǐng)求不包含sessionId，則為此客戶端創(chuàng)建一個(gè)session并且生成一個(gè)與此session相關(guān)

聯(lián)的sessionId，sessionId的值是一個(gè)既不會(huì)重復(fù)，又不容易被找到規(guī)律以仿造的字符串，這個(gè)sessionId將被在本次響應(yīng)中返回給客戶端保存。

3、禁用cookie：

如果客戶端禁用了cookie，通常有兩種方法實(shí)現(xiàn)session而不依賴cookie。

1）URL重寫(xiě)，就是把sessionId直接附加在URL路徑的后面。

2）表單隱藏字段。就是服務(wù)器會(huì)自動(dòng)修改表單，添加一個(gè)隱藏字段，以便在表單提交時(shí)能夠把session id傳遞回服務(wù)器。比如：

form name="testform" action="/xxx"> 
input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
input type="text"> 
/form> 

4、Session共享：

對(duì)于多網(wǎng)站(同一父域不同子域)單服務(wù)器，我們需要解決的就是來(lái)自不同網(wǎng)站之間SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com)，而SessionId又分別儲(chǔ)存

在各自的cookie中，因此服務(wù)器會(huì)認(rèn)為對(duì)于兩個(gè)子站的訪問(wèn),是來(lái)自不同的會(huì)話。解決的方法是通過(guò)修改cookies的域名為父域名達(dá)到cookie共享的目的,從而實(shí)現(xiàn)SessionId的共

享。帶來(lái)的弊端就是，子站間的cookie信息也同時(shí)被共享了。

四. 總結(jié)

1、cookie數(shù)據(jù)存放在客戶的瀏覽器上，session數(shù)據(jù)放在服務(wù)器上。

2、cookie不是很安全，別人可以分析存放在本地的cookie并進(jìn)行cookie欺騙，考慮到安全應(yīng)當(dāng)使用session。

3、session會(huì)在一定時(shí)間內(nèi)保存在服務(wù)器上。當(dāng)訪問(wèn)增多，會(huì)比較占用你服務(wù)器的性能，考慮到減輕服務(wù)器性能方面，應(yīng)當(dāng)使用cookie。

4、單個(gè)cookie保存的數(shù)據(jù)不能超過(guò)4K，很多瀏覽器都限制一個(gè)站點(diǎn)最多保存20個(gè)cookie。

5、可以考慮將登陸信息等重要信息存放為session，其他信息如果需要保留，可以放在cookie中。

以上這篇老生常談Session和Cookie之間區(qū)別與聯(lián)系(必看篇)就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。