cookie与session机制

cookie:

网页客户端存储数据的方案

解决http无状态的身份证明

cookie主要属性：

name：名称

value：值／数据／内容

expires:有效期

domain：有效域名

path：路径

httponly：只能通过http传递

 

两种有效期：

1、有效期时间

2、会话结束即终止（即没有expires）

 

cookie即在你访问的时候写入浏览器

 

session使用过程：

一切从客户端发给服务端的信息都可以造假，包括cookie可以修改

客户端发送信息给服务端（http request），服务端首先不会信，要把账号密码交给服务端，当账号密码通过，服务端http response ＋setcookie给你一个芯片（session id或者key），写到你的电脑（保存sessionid或者key到cookie中），芯片的东西是不能改的，放在一个核心的地方，客户端（httprequest＋ cookie）给服务端（把cookie带入请求），服务端通过与数据库对比后（通过session id得到对应信息），正确后返回httpresonse

 

什么是session

session和cookie的区别？

cookie：                                           session

真实数据存于浏览器　　　　　　　　　真实数据存于服务器

cookie可任意伪造　　　　　　　　　　session不可伪造

分散存储　　　　　　　　　　　　　　集中存储

数据公开透明　　　　　　　　　　　　数据不可见

大小限制　　　　　　　　　　　　　　空间大资源消耗大

 

session集群控制

 

案例：

永久登录：自动登录／永久登录

cookie一个浏览器只能登录一个账号，重新登录后上一个账号则不见了。

 

临时购物车

错误的cookie用法：

在cookie里面写敏感账号信息