cookie&session的Q&A故事[原理篇]
引语:cookie和session在网站开发中,起着无可厚非的重要作用,但是我们平时往往都只是通过某种语言作为介质,通过某些接口函数进行cookie和session的操作,而对其原理可能不了解或一知半解。这样的话,对于一个真正的懂技术的人来说,也算是一种遗憾吧。虽然网络上有许多的关于cookie和session的文章,但是我始终相信,一万个读者就有一万个哈姆雷特,我也只是其中一个读者,我希望站在一个独立的角度去解说这个问题,希望对某些好奇的朋友或者想了解的朋友,作为参考!
本文以Q&A来解说问题,我相信会更容易理解更有意思!
Session 与 Cookie 都是为了保持访问用户与后端服务器的交互状态的介质。
1. 什么是Cookie?
Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
cookie何时生成?Cookie实际上是一小段的文本信息,是一本地存储技术。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。
cookie应注意什么?Cookie功能需要浏览器的支持。如果浏览器不支持Cookie(如大部分手机中的浏览器)或者把Cookie禁用了,Cookie功能就会失效。不同的浏览器采用不同的方式保存Cookie。如IE浏览器会在“C:\Documents and Settings\你的用户名\Cookies”文件夹下以文本文件形式保存,一个文本文件保存一个Cookie。
Cookie的安全性?cookie具有不可跨域名性,根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。但是,在客户端的数据毕竟是不可靠的,一般只用于存储一些不太重要的数据!
cookie是何时被删除的?不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式。
2. 什么是Session?
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。session是服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息的。
session何时生成?Session在用户第一次访问服务器的时候自动创建。需要注意只有访问动态程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。
session应注意什么?Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。而且如果有多台web服务器的话,必须要考虑如何共享session的问题!
session的安全性?session存放在服务器端,一般来说,还是很安全的!
session是何时被删除的?Session长期不被使用,超过了超时时间没访问过服务器,Session就自动失效了(原理是被某进程清理干掉了)。
3. PHP中的session cookie原理?
PHP在http 协议的头信息里发送cookie,因此 setcookie()函数必须在其它信息被输出到浏览器前调用,这和对header()函数的限制类似。
可以用 setcookie()或 setrawcookie()函数来设置 cookie。也可以通过向客户端直接发送http头来设置。要删除cookie,只需把有效时间设为小于当前时间,和把值设置为空即可。
使用方法?通过php内置超级全局变量$_COOKIE 就可以读取浏览器端的cookie。
session 使用过期时间设为0 的cookie,并且将一个称为session ID 的唯一标识符(一长串字符串),在服务器端同步生成一些 session 文件(可以自己定义 session 的保存类型),与用户机关联起来。web应用程序存贮与这些 session 相关的数据,并且让数据随着用户在页面之间传递.访问网站的来客会被分配一个唯一的标识符,即所谓的 SESSION ID。它要么存放在客户端的cookie,要么经由 URL 传递.SESSION 允许用户注册任意数目的变量并保留给各个请求使用。当来客访问网站时,PHP会自动(如果session.auto_start 被设为1)或在用户请求时(由session_start()明确调用或session_register() 暗中调用)检查请求中是否发送了特定的SESSION ID。如果是,则之前保存的环境就被重建。
session最最核心的概念就是:网页间跳转的额外数据,保存在服务器,用一个id标识,浏览器要维持session,需要每次提交都带上这个id.
使用方法?通过$_SESSION这个变量进行设置和获取。
session是何时被删除的?通过一种垃圾回收机制进行清理删除。session.gc_maxlifetime 指定过了多少秒之后数据就会被视为"垃圾"并被清除。 垃圾搜集可能会在 session 启动的时候开始( 取决于 session.gc_probability 和 session.gc_divisor)。 session.gc_probability 与 session.gc_divisor 合起来用来管理 gc(garbage collection 垃圾回收)进程启动的概率。此概率用 gc_probability/gc_divisor 计算得来。例如 1/100 意味着在每个请求中有 1% 的概率启动 gc 进程。session.gc_probability 默认为1,session.gc_divisor 默认为 100。
末语:本文内容来源主要为网络,通过一定的筛选,加上一定的个人理解而来,只为更方便查看,不过我相信对于考试或者面试一类的任务,本文还是有一定的存在意义的,不信你试试!
最后,我将本文精简为一句话:cookie和session都是为了保存用户的状态而存在的,他在被访问时被通过一定的安全机制算法生成,又通过浏览器或某语言的一些特定进程(可以认为是守护进程)定期清理,session涉及内存及多服务器问题,可以将其保存到数据库或其他地方解决该问题!
ok...