session和cookie

https://www.cnblogs.com/nickjiang/p/9148136.html

https://www.cnblogs.com/8023-CHD/p/11067141.html

一 .session和cookie产生的原因

　　HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。

　　会话（Session）跟踪：

　　　　会话，指用户登录网站后的一系列动作，比如浏览商品添加到购物车并购买。会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术

是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

二.cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie 的工作原理。

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie保存起来。

当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

1、会话Cookie和持久Cookie

若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。

若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在浏览器的不同进程间共享。这种称为持久Cookie。

2、Cookie具有不可跨域名性

就是说，浏览器访问百度不会带上谷歌的cookie;

3、cookie的特点

　　1.cookie是一门客户端缓存技术

　　2.cookie是由服务器生成，发送给客户端浏览器保存

　　3.cookie格式是键值对

　　4.cookie数据有截至失效时间如果是一个月，因此这一个月内只要不清除浏览器端的cookie数据，那么使用浏览器来访问登录页面都可以看到手机号回填的效果。

　　每一个cookie都会有名称，值，过期时间。cookie有很多使用场景；比如登录的时候记住用户名和密码，比如记住用户浏览记录

举例说明：

三. Session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录

在服务器上，这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

每个用户访问服务器都会建立一个session，那服务器是怎么标识用户的唯一身份呢？事实上，用户与服务器建立连接的同时，服务器会自动为其分配一个SessionId。

session的特点：

　　1.session是一门服务端会话缓存技术

　　2.session由服务器端的web容器创建，保存在服务器端

　　3.session保存数据：键值对形式

　　4.session过期：默认30分钟

　　当用户登录了系统，服务器端的web容器就会创建一个会话，此会话中可以保存登录用户的信息，并且也是以键值对的形式去保存的，现在大部分系统都是使用的session技术来做的鉴权（权限鉴定），即：当用户登录完了才可以访问系统中的一些页面和数据

　　直接访问系统的首页index.html无法访问成功，会被重定向到登录页面login.html，因为这个系统有做用户鉴权，没有登录的用户无法访问系统里面的数据；当跳转到登录页面后，我们输入用户名和密码，然后登录系统，登陆成功！打开F12可以看到，login登录接口的响应头里有一个“set-cookie”的头信息，里面就有“JSESSIONID=8AC39619BB5BEC4426CF999A92E74337”这个信息，这个信息是服务器创建的会话对应的id编号，浏览器看到这个响应头（set-cookie）就知道要把这个数据写到cookie当中，cookie名称为：“JSESSIONID”，值为：“8AC39619BB5BEC4426CF999A92E74337”。这个session会话编号就是服务器返回的。服务器端的这个session会话保存了登录用户的信息；登录完成后再访问系统中的任何页面都是有没有问题的，因为后面每次请求都会带上浏览器里cookie里面的这个“JSESSIONID”的值过去

当服务器收到这个请求的“Cookie”请求头里的会话id去服务器匹配，判断是同一个session会话，会话中有登录用户的信息，从而判断这个请求是一个登录用户发出的，从而放行这个请求！！！！

session过期怎么办？当服务器的会话过期了，你继续发起请求的时候，客户端带的会话id还是之前的那个，就会验证不通过，就会提示你会话过期请重新登录！

1、两个问题：

1）什么东西可以让你每次请求都把SessionId自动带到服务器呢？显然就是cookie了，如果你想为用户建立一次会话，可以在用户授权成功时给他一个唯一的cookie。当一个

用户提交了表单时，浏览器会将用户的SessionId自动附加在HTTP头信息中，（这是浏览器的自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给SessionId

所对应的用户。试想，如果没有 SessionId，当有两个用户同时进行注册时，服务器怎样才能知道到底是哪个用户提交了哪个表单呢。

2）储存需要的信息。服务器通过SessionId作为key，读写到对应的value，这就达到了保持会话信息的目的。

2、session的创建：

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了sessionId，如果已包含则说明以前已经为此客户端创建过session，服务

器就按照sessionId把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含sessionId，则为此客户端创建一个session并且生成一个与此session相关

联的sessionId，sessionId的值是一个既不会重复，又不容易被找到规律以仿造的字符串，这个sessionId将被在本次响应中返回给客户端保存。

3、禁用cookie：

　　如果客户端禁用了cookie，通常有两种方法实现session而不依赖cookie。

1）URL重写，就是把sessionId直接附加在URL路径的后面。

2）表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如：

4、Session共享：

对于多网站(同一父域不同子域)单服务器，我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com)，而SessionId又分别储存

在各自的cookie中，因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共

享。带来的弊端就是，子站间的cookie信息也同时被共享了。

移动端没有浏览器，所以没有cookie这么一说！用token

app项目为例：
一般app项目都会基于一个token做鉴权。
因为此时客户端不是浏览器，因此就没有cookie这一说了。
当用户登录app时，服务器会响应回来一个token信息（一般都是返回的一串唯一的标识符，比如说uuid或其他）。
服务器端会将登录用户跟token（票据）保存一个映射关系，一般保存在redis或者表里面，服务器端响应回来的token会缓存在手机
的本地缓存里，后面手机去访问app的其他页面，就会带着这个token去服务器做验证，如果通过这个token能够从redis找到登录用户信息
那么就认为你是已经登录了的用户。

token失效：
一段时间后，服务器端的token失效了，那么就会把此token跟用户的映射关系从redis里删掉，那么后面再来访问的时候，根据你手机请求带来的token
就匹配不上登录用户了，服务器就告诉客户端，需要去做重新登录了、

四. 总结

1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。

4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。