cookie和session可能需要知道的知识

 

　　做Android程序员，了解服务器的知识是相当重要的，比如cookie和session。

　　首先介绍一点背景知识，我们知道HTTP的连接是无状态的，HTTPS只是增加了安全，有了SSL证书来验证，作为服务器怎么通过HTTP来知道客户端的状态呢？

比如如何识别来访问的每个连接都是哪个客户发起的连接，只凭字段或许可以知道是哪个浏览器平台，但是区别每个用户是不可以的，当初设计浏览器的公司netscape就开发出了一种机制，名叫cookie，用cookie来记录唯一的客户。在cookie上面给每个到来的连接标上一个唯一的识别id,如果发现有了id,就针对进行操作，各种交互和用户友好性行为。cookie是存储在浏览器端的，由浏览器的W3C标准来保持，每次都是由服务器的response流addCookie然后到客户端，由浏览器去判断cookie的一些字段来进行对应的处理，比如是序列化还是存储在内存，如果存储在内存，那么当关闭浏览器cookie就消失了，有点类似于隐私模式。cookie可能有这么些字段，MaxAge:-1表示内存的时间，0表示清除cookie,整数表示多少时间(通常单位为second秒)。有些网站还会把用户的id和密钥放在cookie中，不过现在的密钥一般都会进行加密才写入到cookie中，服务器访问的时候也会进行解密，id也会进行加密，比如百度的就加密了。我们可以用js的语法查看cookie。

javascript:{cStr=document.cookie;alert(cStr);}  或者简单地写alert(document.cookie)

Hm_lpvt_6859ce5aaf00fb00387e6434e4fcc925=1448292821; Hm_lvt_6859ce5aaf00fb00387e6434e4fcc925=1448206648,1448210112,1448292821,1448292821; IK_4A9653CF7DB7ACF29B1600233C8E8039=5; IK_CID_1=1; IK_CID_74=1; IK_CID_83=1; IK_CID_84=1; IK_CID_95=1; BAIDUID=4A9653CF7DB7ACF29B1600233C8E8039:FG=1; BIDUPSID=CFBBD1FD07741EDF61F7570768B3694D; H_PS_PSSID=17518_1421_18155_17949_17971_18042_15208_11816_18087_10633; MCITY=-%3A; PSTM=1447961566

以上是获取的我地百度上面的cookie，毕竟客户端的东西还是可以用js来操作的。

W3C的标准保证了不会有跨域读取cookie，这里面我们想当然的会有一个钻漏洞的想法，既然服务器可以读取cookie,那么服务器可以不读取自己的，读取用户访问过得，那不是泄露了用户隐私吗？其实只要用户使用了W3C标准的浏览器，那么浏览器就会保证不会把不属于该域名的cookie传递给不相关域名的服务器。

session是服务器端的一种保存机制，在服务器端的内存中加载一些用户的信息，储存在数据库中，不过一旦并发连接数多了，那么对于服务器的负担将是比较重的。

对于客户端还是需要一个cookie，cookie里面有一个叫做jsessionid的东西，这个用来和服务器的一一对应，客户端记录的信息比较少。不过对于用户来讲，可以禁用cookie,这时候怎么做呢，选择在url地址上面做手脚，可以在url地址上面带入一些id记录信息什么的，这种参数是不影响客户访问浏览器的具体资源的，关键是服务器端要做好相应地记录。

重点来了，如果是APP端，应该怎么做呢？APP端怎么去使用cookie，没错，java中有相关cookie的类，在这里面进行cookie的接受和处理。代码待编辑---