浅谈session和cookie的区别与使用

session和cookie出现缘由

---

 

　　HTTP协议是无状态的协议，所以服务端需要记录用户的状态时，就需要用某种机制来识别具体用户，这个机制就是Session。

　　而服务端如何识别特定的客户？这个时候Cookie就登场了。

　　每次HTTP请求的时候，客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的，第一次创建Session的时候，服务端会在HTTP协议中告诉客户端，需要在 Cookie 里面记录一个Session ID，以后每次请求把这个会话ID发送到服务器，我就知道你是谁了。

　　如果客户端的浏览器禁用了 Cookie 怎么办？一般这种情况下，会使用一种叫做URL重写的技术来进行会话跟踪，即每次HTTP交互，URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数，服务端据此来识别用户。

 

区别

---

 

简单来说

Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；
Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

具体来说

1、session 在服务器端（可以放在 文件、数据库、或内存中都可以，默认在文件里），cookie 在客户端（浏览器）
2、session 的运行依赖 session id，而 session id 是存在 cookie 中的，也就是说，如果浏览器禁用了 cookie ，同时 session 也会失效（但是可以通过其它方式实现，比如在 url 中传递 session_id）
3、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。（可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中）

4、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。

5、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

 

常见问题

---

 

• 集群部署时的session管理
• session生命周期
• 禁用cookie后如何实现session