再说Cookie与Session之前,先要了解一下http协议。
1.何为http协议:
http协议即超文本传输协议,一种基于浏览器请求与服务器响应的协议,该协议主要的特点就是它是一种无状态的协议(只针对cookie于session问题),在客户端连续向服务器发送请求的时候,每次请求的过程中只要数据交换完毕,服务器与客户端就会断开连接,再次请求的时候会重新连接客户端与服务器,这样服务器记录上次的对话,那么问题来了,如何让服务器知道是哪个客户端向自己发出的请求呢,这个时候cookie就诞生了~
2.何为cookie:
cookie是一小段文本信息,这段小文本信息由服务器首次响应客户端时发送的,在客户端向服务器首次发送请求的时候,服务器会判断是否要记录客户端的身份,如果需要,此时就会在响应中(response)给客户端发送一个cookie,该cookie文本信息保存在http的报头里,当浏览器会将cookie保存起来,当该浏览器再次发送请求时会携带cookie,服务器检查cookie来识别浏览器请求。
cookie有一些特点:cookie是可以被浏览器禁止的,而且不同的浏览器对cookie的保存方式也不一样;
cookie对象是以键值对的形式纯在的;
cookie是不可以跨域的;同一个浏览器访问一次百度(百度给浏览器颁发一个cookie),访问一次腾讯(腾讯给浏览器颁发一个cookie),由于cookie是浏览器管理的,所以浏览器会根据域名来判断是否可以操作cookie。总而言之,百度的请求时不可能携带腾讯颁发的cookie,反之依然成立。
cookie是有生命周期的;
cookie是不安全的;这么说并不准确,只是针对某些情况来说是不安全的。由于http协议本身不具有安全性,在传输协议的过程中是可以被截获的,所以cookie一般只会在https等安全协议中传输。
3.何为session:
session是服务器用来记录客户端状态的机制,不同于cookie保存在浏览器中,session是保存在服务器上的,服务器把客户端信息以散列结构的形式保存在了服务器上,这就是session。session以键值对的形式保存。
session的一些特点: session的机制决定了当前用户只能获取到自己的session,各个session是独立的,不可见的;
session是有生命周期的,Session保存在服务器端。Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于 复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session,用户每 访问一次服务器,服务器就会认为该用户session活跃了一次。
session的有效期;为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。
session对浏览器的需求,session是存在服务器中的,但是对客户端是透明的,session的运行是需要客户端浏览器的支持,session需要使用cookie作为标识。http协议本身是无状态的协议,session不 能根据每一次的请求判断客户端,所以服务器向客户端浏览器发送一个Jsessionid的Cookie,它的值为session id,session会根据cookie的值即session id来判断是否为同一个客户端。
终结:cookie与session是有区别的,因为cookie是保存在客户端浏览器中的,而session是保存在服务器中的,cookie与session又没有区别,因为无论使用cookie机制还是session机制,本质上都是通过cookie机制来使服务器 来识别客户端浏览器的。
原文:http://www.cnblogs.com/moran1992/p/6244308.html