本文共 1499 字，大约阅读时间需要 4 分钟。

• Session和Cookie都是会话跟踪技术。Cookie通过在客户端记录信息确定用户身份。Session通过在服务器端记录信息确定用户身份。但是Session的实现依赖于Cookie，sessionId(session的唯一标识需要存放在客户端)。

cookie 和session 的区别：

• cookie数据存放在客户的浏览器上，session数据放在服务器上。
• cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session。
• session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用COOKIE。
• 单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

对cookies与session的了解？他们能单独用吗？

• Session采用的是在服务器端保持状态的方案，而Cookie采用的是在客户端保持状态的方案。
• 但是禁用Cookie就不能得到Session。因为Session是用Session ID来确定当前对话所对应的服务器Session，而Session ID是通过Cookie来传递的，禁用Cookie相当于SessionID,也就得不到Session。

个人建议

• 将登陆信息等重要信息存放在Session。
• 其他信息如果需要保留，可以放在Cookie中，比如购物车。购物车最好使用cookie，但是cookie是可以在客户端禁用的，这时候我们要使用cookie+数据库的方式实现，当从cookie中不能取出数据时，就从数据库获取。

三种保持会话的方式

（一）session机制保持会话

存在的问题

• 高并发情况下，会占用服务器大量内存。
• 分布式（一个业务分成几个子业务，部署在多个服务器）或者集群（一个业务部署在多个服务器）的时候，session不能共享。

解决方案

• 高并发的时候可以将session存储到redis，如果用户长时间没有访问，将session存储到redis，就减少了服务器的压力。
• 分布式或者集群的时候，先通过redis来判断用户状态也可以实现session共享。

（二）cookie机制保持会话

使用的方法

• 登录验证后，创建登录凭证（比如：用户id+登录时间+过期时间），将登录凭证进行加密（为了避免暴露信息），加密后写到浏览器的cookie，以后，每次请求都发送cookie，服务器根据对应的解密算法对其进行验证（或者将加密过的cookie内容存储到数据库，请求服务器的时候，服务器在数据库进行查找）。

存在的问题

• 每次访问都提交cookie，增加请求量。
• 其他访问可能需要cookie（比如说购物车的信息存放在cookie），浏览器对每个域存储的cookie的大小有限制，那么需要控制加密后的凭证。
  

（三）token机制保持会话

使用方法

• cookie 和session依赖于浏览器，如果客户端不是浏览器，那么需要手动添加token（和cookie类似，也是登录凭证），将token添加到http header或者做为参数添加到url。

存在的问题

• 每次访问的时候手动添加token
• 和cookie 的方式一样增加了请求量

总结

• 不同的方式适合不同的应用场景，视情况使用。

相同点

• 所有的方式目的都是为了验证用户状态。
• 都需要在客户端存储凭证。

不同点

• 第一种是通过是通过空间换时间，消耗内存存储session对象，但是判断用户状态不用复杂的逻辑。
• 第二种第三种用时间换空间，在服务器端逻辑处理进行判断用户状态。

转载地址：http://oiztn.baihongyu.com/