定义
- Cookie:指网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。
- Session:也称会话,是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制。
提出的背景
提出Cookie和Session主要是针对Http的无状态的设计,Server和Client不会一直保持连线状态,也不会有双方状态的及时更新。因此,Server无法知道Client的状态,如登录信息、购物车等等。
Cookie就是采用客户端的状态保持方案,而Session则采用服务器端的状态保持方案。
工作原理
1. Cookie
在典型的购物场景中,用户浏览了几个页面,买了一盒饼干和两瓶饮料。最后结账时由于Http是无状态的,不通过额外的手段,服务器并不知道用户到底买了什么,所以Cookie就是用来解决Http无状态的额外方法。服务器可以设置或读取Cookies中的信息,借此维护用户跟服务器会话中的状态。
当用户购买了第一项商品后,服务器向用户发送网页的同时还发送了一段Cookie(Set-Cookie),记录了那项商品的信息。当用户访问另外一个页面时,浏览器会把Cookie发送给服务器,用于服务器知道用户之前选购了什么。如果用户继续选购,服务器就在原来那段Cookie中添加新的商品信息。结账时,服务器就读取发送来的Cookie(Get-Cookie)。
Cookie另一个典型的应用场景就是登陆一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果选中后,下次登陆时,用户无须输入账户密码即可登录。这是因为前一次登录时,服务器发送了包含登录凭据(用户名+密码的某种加密形式)的Cookie到硬盘上。第二次登录时,如果该Cookie还未到期,则浏览器会发送该Cookie给服务器验证,于是就可以登陆了。
其具体形式是一小段的文本信息(通过键值对表示),主要内容包括:名字、值、过期时间、路径和域。需要注意的是Cookie存的文件不能大于4K,很多时候一个站点被限制最多保存20个Cookie。
2. Session
首先介绍一下OSI 7层模型,如下图所示:
在不包含会话层(如UDP)或者无法长时间驻留会话层(如Http)的传输协议中,会话的维持需要依靠在传输数据中的高级别程序,例如,在Http传输中,Cookie就会用于包含一些相关信息,如Session ID,参数和权限等。
Session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构来保存信息。当程序需要为某个客户端的请求创建一个Session时,服务器首先检查这个客户端的请求里是否已包含了一个Session标志(即Session ID),如果已包含则说明以前已经为该客户创建过Session,服务器就按照Session ID检索出来使用,若检索不到则新建一个。如果客户端请求不包含Session ID,则为此客户端创建一个Session并且生成一个与此Session相关联的Session ID,这个ID的值应该是一个不会重复又不容易被找到规律的字符串,这个Session ID将在本次响应中返回给客户端保存。通常来说,保存Session ID的方式可以采用Cookie(也可以使用标准的Query String等方法,只要可以传输即可),这样在交互过程中就可以自动把这个标识发给服务器了。
一般这个Cookie的名字采用类似于SESSIONID,但是Cookie可以被禁止,因此需要有机制在Cookie被禁的情况也要吧Session ID传给服务器。经常使用的一种技术叫做URL重写,就是把Session ID直接附在URL路径的后面。还有一种技术叫表单隐藏字段也可以解决该问题。
两者联系
- 保存方式:Cookie保存在客户端(或浏览器);Session保存在服务器。
- 安全性:Session比Cookie安全。
- 性能:Cookie消耗本地磁盘空间;Session消耗服务器资源。
- 联系:Session大部分时候是基于Cookie使用的。
