大家好，我是IT修真院深圳分院JAVA第02期學員，一枚正直純潔善良的JAVA程序員。

今天給大家分享一下，修真院官網JAVA（職業(yè)）任務5，深度思考中的知識點——Session和Cookie的區(qū)別

1.背景介紹

什么是Cookie

Cookie 是在HTTP協(xié)議下，服務器或腳本可以維護客戶工作站上信息的一種方式。Cookie 是由 Web

服務器保存在用戶瀏覽器（客戶端）上的小文本文件(內容通常經過加密)，它可以包含有關用戶的信息。無論何時用戶鏈接到服務器，Web站點都可以訪問

Cookie 信息,可以看作是瀏覽器緩存.

什么是Session

Session的定義很抽象,在不同的場合中session一詞的含義也很不相同.它可以代表服務器與瀏覽器的一次會話過程,指從一個瀏覽器窗口打開到關閉的這個期間.也可以用于指一類用來在客戶端與服務器之間保持狀態(tài)的解決方案.

2.知識剖析

Cookie機制

Cookie需要解決三個問題：分發(fā)、內容和使用。

cookie的分發(fā)是通過擴展HTTP協(xié)議來實現的，服務器端通過在HTTP的響應由中加上一行特殊的指示以提示瀏覽器按照指示生成相應的cookie。

cookie的內容主要包括name(名字)、value(值)、maxAge(失效時間)、path(路徑),domain(域)和secure

name：cookie的名字，一旦創(chuàng)建，名稱不可更改。

value：cookie的值，如果值為Unicode字符，需要為字符編碼。如果為二進制數據，則需要使用BASE64編碼.

maxAge：cookie失效時間，單位秒。如果為正數，則該cookie在maxAge后失效。如果為負數，該cookie為臨時cookie，關閉瀏覽器即失效，瀏覽器也不會以任何形式保存該cookie。如果為0，表示刪除該cookie。默認為-1

path：該cookie的使用路徑。如果設置為"/sessionWeb/"，則只有ContextPath為“/sessionWeb/”的程序可以訪問該cookie。如果設置為“/”，則本域名下ContextPath都可以訪問該cookie。

domain:域.可以訪問該Cookie的域名。第一個字符必須為".",如果設置為".google.com",則所有以"google.com結尾的域名都可以訪問該cookie",如果不設置,則為所有域名

secure：該cookie是否僅被使用安全協(xié)議傳輸。

cookie的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務器。瀏覽器檢查所有存儲的cookie，如果某個cookie所聲明的作用范圍大于等于將要請求的資源所在的位置，則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務器.

Session機制

Session機制是一種服務端的機制，服務器使用一種類似散列表的結構來保存信息。當程序需要為某個客戶端的請求創(chuàng)建一個session的時候，服務器首先檢查這個客戶端里的請求里是否已包含了一個session標識--sessionID，如果已經包含一個sessionID，則說明以前已經為此客戶端創(chuàng)建過session，服務器就按照sessionID把這個session檢索出來使用（檢索不到，可能會新建一個），如果客戶端請求不包含sessionID，則為此客戶端創(chuàng)建一個session并且聲稱一個與此session相關聯的sessionID，sessionID的值應該是一個既不會重復，又不容易被找到規(guī)律以仿造的字符串(服務器會自動創(chuàng)建),這個sessionID將被在本次響應中返回給客戶端保存。

保存sessionID的方式

1，使用Cookie.此時Cookie不再用作認證,只是作為載體,存儲sessionID

2，URL重寫：因為cookie可以被人為禁止，所以為了保證sessionID能夠被傳遞給服務器，使用URL重寫也是一種解決方法。如,

href="<%=response.encodeURL("index.jsp") %>"

寫好后URL是這樣的

href="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E"

3, 隱藏表單提交.將sessionId放在隱藏表單中

實際上這幾種方式最方便的還是cookie,其他兩種方式都各有弊端,URL重寫的弊端是要對所有的URL都重寫,非常繁瑣.表單隱藏字段的弊端是只能局限于表單提交,如果是單純的文本鏈接則不能提供會話跟蹤

Cookie和Session之間的區(qū)別

1.Cookie數據存放在客戶的瀏覽器(本地),session數據放在服務器上

2.Cookie不如session安全，別人可以分析存放在本地的Cookie并進行Cookie欺騙,所以出于安全性的考慮應當使用Session

3.Session會在一定時間內保存在服務器上。當訪問增多,會占用較多的服務器資源,所以出于性能考慮則應當使用cookie

單個cookie保存的數據不能超過4k,很多瀏覽器都限制一個站點最多保存20個cookie.實際上為了性能考慮,不論是cookie還是session,其中的信息都應當短小精悍

session因為是保存在服務器上,所以不支持跨域的訪問

3.擴展思考

使用cookie和session的具體場景

一般來說,登陸驗證信息,客戶的私人信息,如姓名,電話等,應該放在Session中.Cookie則用于用戶登陸網站時的自動登陸以及類似"購物車"的處理.使用Cookie保存信息時最好通過加密形式來保存數據,同時是否保存登陸信息,需要由用戶自行選擇

4.參考文獻

參考一：Cookie Session機制詳解?

參考二：淺談Session與Cookie的區(qū)別與聯系