HTTP协议11-cookie和seesion

因为HTTP协议是无状态的,但是很多网站的功能需要先登录才能使用。这就引入了cookie。

 

Cookie机制

服务器用HTTP头向客户端发送cookies。客户端(浏览器)解析cookies并将它们保存为一个本地文件。浏览器会自动将发往该服务器的请求上添加这些cookies。

Cookie机制采用的是客户端保持状态的方案。它是在用户端存储会话状态的机制。需要浏览器支持。正统的cookie发布是通过拓展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的提示,让浏览器生成相应的cookie。

Cookie的内容主要包括:名字,值,过期时间,路径和域。路径和域一起构成cookie的作用范围。

如果请求资源所在位置在cookie的作用范围内,会把该cookief附在请求资源的HTTP请求头上发送给服务器。

会话cookie:如果不设置过期时间则表示这个cookie的生命周期就是浏览器会话期间。关闭浏览器,cookie就会消失。

持久cookie:如果设置了过期时间,浏览器会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的时间。

 

为cookie服务的首部字段

首部字段名 说明 首部类型
Set-Cookie 告知客户端,服务器给设置的cookie 响应首部字段
Cookie

告诉服务器端,客户端的cookie

请求首部字段

 

 

 

 

 

Set-Cookie

当服务器准备开始管理客户端状态时,会事先告知各种信息。

属性 说明
NAME=VALUE 赋予Cookie的名称和值(必需项)
expires=DATE

Cookie的有效期

path=PATH 将服务器上的文件目录作为Cookie的适用对象
domain=域名 作用Cookie适用对象的域名
Secure 仅在HTTPS安全通信时才会发送Cookie
HttpOnly 使Cookie不能被JavaScript脚本访问

 

 

 

 

 

 

 

 

 

 

 

Seesion机制

session机制是一种服务器端保持会话的机制,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以seesion机制会借用cookie机制来达到保存标识的目的。

当需要为客户端的请求创建一个session时,服务器端会检查请求中是否包含session标识(session id),如果有表示已经创建过session了,直接把这个session拿来用(找不到会新建一个),如果客户端请求中不包含session id。则为此客户端创建一个session及对应的session id 。id会跟着本次响应返回给客户端保存。

保存session id方式一般采用cookie。但是cookie是可以人为禁止的。所以必须有其他机制可以在cookie被禁止时能够把session id传送给服务器端。经常会使用的是URL重写,把session id放在url路径后面。

 

cookie和session的不同

1)存取方式的不同

cookie只能保存ASCII的字符串,若需要存取其他字符型或二进制数据,需要进行编码

session能存取任何类型的数据

 

2)隐私安全的不同

cookie存储在客户端浏览器中,客户端的某些程序可能会复制或修改Cookie中的内容

session存储在服务器上,对隐私信息能够有效的保护

 

3)服务器压力不同

cookie存储在浏览器中,所以对服务器没有压力

session存储在服务器中,当在线用户多时,会对服务器产生压力

 

4)有效期的不同

cookie可以设置过期时间,来实现免登陆功能

session依赖名为jsessionid的cookie,但该cookie的过期时间默认为-1。关闭了浏览器session就会失效

 

5)客户端支持的不同

cookie需要浏览器的支持,如果浏览器禁用cookie或不支持,就不能用cookie跟踪会话了,而session可以通过URL地址重写来跟踪会话。

 

6)跨域支持的不同

cookie支持跨域名访问,例如将domain设置为“.baidu.com”则以“.baidu.com”为后缀的一切域名都可以使用该cookie访问(常用)

session不支持跨域访问

 

posted @ 2019-03-11 18:00  梦忆安凉  阅读(315)  评论(0编辑  收藏  举报