Cookie 和 Session

欢迎光临我的博客[http://poetize.cn],前端使用Vue2,聊天室使用Vue3,后台使用Spring Boot

Cookie具有不可跨域名性。

在本地计算机保存一些用户操作的历史信息(包括登录信息),
并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证。

Cookie是有时间限制的,根据生命期不同分成两种:

    会话Cookie:
        不设置过期时间,一般不保存在硬盘上而是保存在内存里,关闭浏览器窗口,cookie就消失了。

    持久Cookie:
        设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。


Cookie实际上是一小段的文本信息:
    客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。
    客户端浏览器会把Cookie保存起来。
    当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。
    服务器检查该Cookie,以此来辨认用户状态。


Cookie cookie = new Cookie("username","aaa");    // 新建Cookie
cookie.setMaxAge(10);    //设置生命周期,单位为秒(Second)
response.addCookie(cookie);    //输出到客户端


HTTP协议不仅是无状态的,而且是不安全的。使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能:
    设置Cookie的secure属性为true。浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。
    cookie.setSecure(true); // 设置安全属性


Cookie有大小限制以及浏览器在存cookie的个数也有限制

Session

在服务器上保存用户操作的历史信息,通过服务器来保持状态。

Cookie在关闭浏览器窗口后就会消失,但是原来服务器的Session还在,只有等到了销毁的时间会自动销毁


服务器一般把Session放在内存里,针对一个web项目,每个用户都会有一个独立的Session(Tomcat中Session的默认失效时间为30分钟):

    Session在用户第一次访问服务器的时候自动创建。
    需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。

    如果尚未生成Session,也可以使用request.getSession(true)强制生成Session。
    Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。


HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,需要依赖Cookie:
    浏览器第一次访问服务器时,服务器会向浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。
    Session依据该Cookie来识别是否为同一用户。


同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session:
    因为Cookie仅当前浏览器内有效,并且各浏览器窗口间不共享。
    但是由浏览器窗口内的链接、脚本等打开的新窗口除外。
    这类子窗口会共享父窗口的Cookie,因此会共享一个Session。
posted @ 2019-09-19 20:45  LittleDonkey  阅读(165)  评论(0编辑  收藏  举报