因为HTTP协议是无状态的,但是很多网站的功能需要先登录才能使用。这就引入了cookie。
Cookie机制
服务器用HTTP头向客户端发送cookies。客户端(浏览器)解析cookies并将它们保存为一个本地文件。浏览器会自动将发往该服务器的请求上添加这些cookies。
Cookie机制采用的是客户端保持状态的方案。它是在用户端存储会话状态的机制。需要浏览器支持。正统的cookie发布是通过拓展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的提示,让浏览器生成相应的cookie。
Cookie的内容主要包括:名字,值,过期时间,路径和域。路径和域一起构成cookie的作用范围。
如果请求资源所在位置在cookie的作用范围内,会把该cookief附在请求资源的HTTP请求头上发送给服务器。
会话cookie:如果不设置过期时间则表示这个cookie的生命周期就是浏览器会话期间。关闭浏览器,cookie就会消失。
持久cookie:如果设置了过期时间,浏览器会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的时间。
为cookie服务的首部字段
| 首部字段名 | 说明 | 首部类型 |
| Set-Cookie | 告知客户端,服务器给设置的cookie | 响应首部字段 |
| Cookie |
告诉服务器端,客户端的cookie |
请求首部字段 |
Set-Cookie
当服务器准备开始管理客户端状态时,会事先告知各种信息。
| 属性 | 说明 |
| NAME=VALUE | 赋予Cookie的名称和值(必需项) |
| expires=DATE |
Cookie的有效期 |
| path=PATH | 将服务器上的文件目录作为Cookie的适用对象 |
| domain=域名 | 作用Cookie适用对象的域名 |
| Secure | 仅在HTTPS安全通信时才会发送Cookie |
| HttpOnly | 使Cookie不能被JavaScript脚本访问 |
Seesion机制
session机制是一种服务器端保持会话的机制,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以seesion机制会借用cookie机制来达到保存标识的目的。
当需要为客户端的请求创建一个session时,服务器端会检查请求中是否包含session标识(session id),如果有表示已经创建过session了,直接把这个session拿来用(找不到会新建一个),如果客户端请求中不包含session id。则为此客户端创建一个session及对应的session id 。id会跟着本次响应返回给客户端保存。
保存session id方式一般采用cookie。但是cookie是可以人为禁止的。所以必须有其他机制可以在cookie被禁止时能够把session id传送给服务器端。经常会使用的是URL重写,把session id放在url路径后面。
cookie和session的不同
1)存取方式的不同
cookie只能保存ASCII的字符串,若需要存取其他字符型或二进制数据,需要进行编码
session能存取任何类型的数据
2)隐私安全的不同
cookie存储在客户端浏览器中,客户端的某些程序可能会复制或修改Cookie中的内容
session存储在服务器上,对隐私信息能够有效的保护
3)服务器压力不同
cookie存储在浏览器中,所以对服务器没有压力
session存储在服务器中,当在线用户多时,会对服务器产生压力
4)有效期的不同
cookie可以设置过期时间,来实现免登陆功能
session依赖名为jsessionid的cookie,但该cookie的过期时间默认为-1。关闭了浏览器session就会失效
5)客户端支持的不同
cookie需要浏览器的支持,如果浏览器禁用cookie或不支持,就不能用cookie跟踪会话了,而session可以通过URL地址重写来跟踪会话。
6)跨域支持的不同
cookie支持跨域名访问,例如将domain设置为“.baidu.com”则以“.baidu.com”为后缀的一切域名都可以使用该cookie访问(常用)
session不支持跨域访问