Cookie 与 Session 的区别
2016-02-19 java 那些事
本文分别对 Cookie 与 Session 做一个介绍和总结,并分别对两个知识点进行对比分析,
让大家对 Cookie 和 Session 有一个更深入的了解,并对自己的开发工作中灵活运用带来启
示。
cookie 机制
Cookies 是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器 。
IETF RFC 2965 HTTP State Management Mechanism 是通用 cookie 规范。网络服务器用 HTTP
头向客户端发送 cookies,在客户终端,浏览器解析这些 cookies 并将它们保存为一个本地
文件,它会自动将同一服务器的任何请求缚上这些 cookies。
具体来说 cookie 机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的
存贮机制,他需要用户打开客户端的 cookie 支持。cookie 的作用就是为了解决 HTTP 协议无
状态的缺陷所作的努力。
正统的 cookie 分发是通过扩展 HTTP 协议来实现的,服务器通过在 HTTP 的响应头中加
上一行特殊的指示以提示浏览器按照指示生成相应的 cookie。然而纯粹的客户端脚本如
JavaScript 也可以生成 cookie。而 cookie 的使用是由浏览器按照一定的原则在后台自动发送
给服务器的。浏览器检查所有存储的 cookie,如果某个 cookie 所声明的作用范围大于等于
将要请求的资源所在的位置,则把该 cookie 附在请求资源的 HTTP 请求头上发送给服务器。
cookie 的内容主要包括:名字,值,过期时间,路径和域。路径与域一起构成 cookie
的作用范围。若不设置过期时间,则表示这个 cookie 的生命期为浏览器会话期间,关闭浏
览器窗口,cookie 就消失。这种生命期为浏览器会话期的 cookie 被称为会话 cookie。会话
cookie 一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置
了过期时间,浏览器就会把 cookie 保存到硬盘上,关闭后再次打开浏览器,这些 cookie 仍
然有效直到超过设定的过期时间。存储在硬盘上的 cookie 可以在不同的浏览器进程间共享,
比如两个 IE 窗口。而对于保存在内存里的 cookie,不同的浏览器有不同的处理方式。
而 session 机制采用的是一种在服务器端保持状态的解决方案。同时我们也看到,由于
采用服务器端保持状态的方案在客户端也需要保存一个标识,所以 session 机制可能需要借
助于 cookie 机制来达到保存标识的目的。而 session 提供了方便管理全局变量的方式。
session 是针对每一个用户的,变量的值保存在服务器上,用一个 sessionID 来区分是哪
个用户 session 变量,这个值是通过用户的浏览器在访问的时候返回给服务器,当客户禁用
cookie 时,这个值也可能设置为由 get 来返回给服务器。
就安全性来说:当你访问一个使用 session
的站点,同时在自己机子上建立一个 cookie,建议在服务器端的 session 机制更安全些,因
为它不会任意读取客户存储的信息。
session 机制
session 机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就
是使用散列表)来保存信息。
当程序需要为某个客户端的请求创建一个 session 时,服务器首先检查这个客户端的请
求里是否已包含了一个 session 标识(称为 session id),如果已包含则说明以前已经为此客
户端创建过 session,服务器就按照 session id 把这个 session 检索出来使用(检索不到,会
新建一个),如果客户端请求不包含 session id,则为此客户端创建一个 session 并且生成一
个与此 session 相关联的 session id,session id 的值应该是一个既不会重复,又不容易被找