本文共 1499 字,大约阅读时间需要 4 分钟。
- Session和Cookie都是会话跟踪技术。Cookie通过在客户端记录信息确定用户身份。Session通过在服务器端记录信息确定用户身份。但是Session的实现依赖于Cookie,sessionId(session的唯一标识需要存放在客户端)。
cookie 和session 的区别:
cookie数据
存放在客户的浏览器上,session数据
放在服务器上。 cookie
不是很安全,别人可以分析存放在本地的COOKIE
并进行COOKIE
欺骗,考虑到安全应当使用session
。 session
会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE
。 - 单个
cookie
保存的数据不能超过4K
,很多浏览器都限制一个站点最多保存20个cookie
。
对cookies与session的了解?他们能单独用吗?
Session
采用的是在服务器端保持状态的方案,而Cookie
采用的是在客户端保持状态的方案。 - 但是禁用
Cookie
就不能得到Session
。因为Session
是用Session ID
来确定当前对话所对应的服务器Session
,而Session ID
是通过Cookie
来传递的,禁用Cookie
相当于SessionID
,也就得不到Session
。
个人建议
- 将登陆信息等重要信息存放在Session。
- 其他信息如果需要保留,可以放在Cookie中,比如购物车。购物车最好使用cookie,但是cookie是可以在客户端禁用的,这时候我们要使用cookie+数据库的方式实现,当从cookie中不能取出数据时,就从数据库获取。
三种保持会话的方式
(一)session机制保持会话
存在的问题
- 高并发情况下,会占用服务器大量内存。
- 分布式(一个业务分成几个子业务,部署在多个服务器)或者集群(一个业务部署在多个服务器)的时候,session不能共享。
解决方案
- 高并发的时候可以将session存储到redis,如果用户长时间没有访问,将session存储到redis,就减少了服务器的压力。
- 分布式或者集群的时候,先通过redis来判断用户状态也可以实现session共享。
(二)cookie机制保持会话
使用的方法
- 登录验证后,创建登录凭证(比如:
用户id+登录时间+过期时间
),将登录凭证进行加密(为了避免暴露信息),加密后写到浏览器的cookie,以后,每次请求都发送cookie,服务器根据对应的解密算法对其进行验证(或者将加密过的cookie内容存储到数据库,请求服务器的时候,服务器在数据库进行查找)。
存在的问题
- 每次访问都提交cookie,增加请求量。
- 其他访问可能需要cookie(比如说购物车的信息存放在cookie),浏览器对每个域存储的cookie的大小有限制,那么需要控制加密后的凭证。
(三)token机制保持会话
使用方法
cookie 和session
依赖于浏览器,如果客户端不是浏览器,那么需要手动添加token(和cookie类似,也是登录凭证),将token添加到http header
或者做为参数添加到url。
存在的问题
- 每次访问的时候手动添加token
- 和cookie 的方式一样增加了请求量
总结
相同点
- 所有的方式目的都是为了验证用户状态。
- 都需要在客户端存储凭证。
不同点
- 第一种是通过是通过空间换时间,消耗内存存储session对象,但是判断用户状态不用复杂的逻辑。
- 第二种第三种用时间换空间,在服务器端逻辑处理进行判断用户状态。
转载地址:http://oiztn.baihongyu.com/