2. 程式人生 > >Session和Cookie的區別與聯系

Session和Cookie的區別與聯系

阿新 發佈:2018-04-06
會銷 驗證 了解 文件中 csharp OS 不同的 訪問量 對比 

一,Session
1,概念:session存放在服務端,一般情況下,服務器默認30分鐘保存這個Session,過了時間限制就會銷毀,在銷毀之前,開發者可以將用戶的一些數據以key和value的形式暫時存放在這個Session中。當然,也有使用數據庫將這個Session序列化保存起來,好處是沒有了時間的限制,壞處是隨著時間的增加,這個數據庫會急速膨脹,特別是訪問量增加的時候,所以一般采取第一種方式,以減輕服務器壓力。

2,請求流程:當瀏覽器第一次發送請求時,服務器自動生成一個Session和一個Session ID用來唯一表示這個Session,並將其通過響應發送到瀏覽器,當瀏覽器第二次發送請求的時候,會將前一次服務器響應中Session ID放在請求中一並發送到服務器上,服務器從中提取出Session ID並和保存的所有Session ID進行對比,找到這個用戶對應的Session。

3,Session客戶端實現形式(即Session ID的保存方法) 一般瀏覽器提供兩種方式來保存,還有一種是程序員使用html隱藏域的方式自定義實現;

【1】使用Cookie來保存,這是最常見的方法,例如“記錄我的登錄狀態”功能的實現正是基於這種方式的。服務器通過設置Cookie的方式將Session ID發送到瀏覽器,如果我們不設置這個過期時間,那麽這個Cookie將不存放在硬盤上,當瀏覽器關閉的時候,Cookie就消失了,這個Session ID就丟失了。如果我們設置這個時間為若幹天後,那麽這個Cookie會保存在客戶端硬盤中,即使瀏覽器關閉,這個值仍然存在,下次訪問相應網站時,同樣會發送到服務器上。

【2】使用URL附加信息的方式,也就是像我們經常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的。這種方式和第一種方式裏面不設置Cookie過期時間是一樣的

【3】第三種方式是在頁面表單裏添加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過GET方式發送數據後者是用POST方式發送數據,但是明顯後者比較麻煩。

4,Cookie和Session區別

cookie存儲在客戶端(瀏覽器),session存儲在服務端,簡 單的說,當你登錄一個網站的時候,如果web服務器端使用的是session,那麽所有的數據都保存在服務器上面,客戶端每次請求服務器的時候會發送 當前會話的sessionid,服務器根據當前sessionid判斷相應的用戶數據標誌,以確定用戶是否登錄,或具有某種權限。由於數據是存儲在服務器 上面,所以你不能偽造,但是如果你能夠獲取某個登錄用戶的sessionid,用特殊的瀏覽器偽造該用戶的請求也是能夠成功的。sessionid是服務 器和客戶端鏈接時候隨機分配的,一般來說是不會有重復,但如果有大量的並發請求,也不是沒有重復的可能性。

cookie是屬於session對象的一種,但有不同,Cookie不會占用服務器資源,是存在客戶端內存或者一個cookie文本文件中,而“session”則會占用服務器資源,所以盡量不要使用session,而是用cookie,但我們一直認為cookie是不可靠的,session是可靠的,但是目前很多著名的站點都使用cookie,,有時候為了解決禁用cookie後的頁面處理,通常采用url重寫技術,調用session中大量有用的方法從session中獲取數據後置入頁面。

5,Cookie和Session的應用場景

Cookies的安全性能一直是倍受爭議的。雖然Cookies是保存在本機上的,但是其信息的完全可見性且易於本地編輯性,往往可以引起很多的安全問題。所以Cookies到底該不該用,到底該怎樣用,就有了一個需要給定的底線。

【1】session

登陸驗證信息。一般采用Session(“Logon”)=true or false的形式。 用戶的各種私人信息,比如姓名等,某種情況下,需要保存在Session裏 需要在頁面間傳遞 的內容信息,比如調查工作需要分好幾步。每一步的信息都保存在Session裏,最後在統一更 新到數據庫

【2】cookie

判斷用戶是否登陸過網站,以便下次登錄時能夠直接登錄。如果我們刪除cookie,則每次登 錄必須從新填寫登錄的相關信息。 另一個重要的應用是“購物車”中類的處理和設計。用戶可能在一段時間內在同一家網站的不同 頁面選擇不同的商品,可以將這些信息都寫入cookie,在最後付款時從cookie中提取這些信 息,當然這裏面有了安全和性能問題需要我們考慮了。

6,使用cookie應遵循的原則

(1)不要保存私人信息。 (2)任何重要數據,最好通過加密形式來保存數據(最簡單的可以用URLEncode,當然也可以用完善的可逆加密方式,遺憾的是,最好不要用md5來加密)。 (3)是否保存登陸信息,需有用戶自行選擇。 (4)長於10K的數據,不要用到Cookies。 (5)也不要用Cookies來玩點讓客戶驚喜的小遊戲。

註:以上是公司最近面試總問的一個問題,發現很多工作四五年的回答的也不全面,所以從網上找了些資料

  

Session和Cookie的區別與聯系

相關推薦

SessionCookie區別

會銷 驗證 了解 文件中 csharp OS 不同的 訪問量 對比 一,Session 1,概念:session存放在服務端,一般情況下,服務器默認30分鐘保存這個Session,過了時間限制就會銷毀,在銷毀之前,開發者可以將用戶的一些數據以key和value的形式暫時存

SessionCookie區別

系統 數據 如果 多層 刪除 默認 重新 sqli nbsp 描述兩個事情的不同,一般先從概念入手,然後分析他們是怎麽生成、怎麽使用以及怎麽消亡的: 1、Cookie僅由客戶端生成、管理並使用,PHP只是發出指令要求客戶端如何生成Cookie、何時過期等,但是客戶端不一

淺談SessionCookie區別

本地 默認 urlencode 目錄 value key 攻擊 學校 會話 一、Session的概念 Session 是存放在服務器端的,類似於Session結構來存放用戶數據,當瀏覽器 第一次發送請求時,服務器自動生成了一個Session和一個Session ID用來唯一

SpringMVC的攔截器(Interceptor)過濾器(Filter)的區別

get err 實例 分享 切面 簡介 () lee XML 一 簡介 (1)過濾器: 依賴於servlet容器。在實現上基於函數回調,可以對幾乎所有請求進行過濾,但是缺點是一個過濾器實例只能在容器初始化時調用一次。使用過濾器的目的是用來做一些過濾操作,獲取我們想要獲取

JS中innerHTML、outerHTML、innerText 、outerText、value的區別?jQuery中的text()、html()val()

chrom html標簽 sel detail put 替換 not 內容 tail 一、JS中innerHTML、outerHTML、innerText 、outerText、value的區別與聯系?jS中設置或者獲取所選內容的值:①innerHTML :屬性設置或返回該

進程線程的區別

寄存器 進程的地址空間 線程 單元 進程 等於 實現 blog 實體 轉:http://www.cnblogs.com/wangzhenghua/p/4447570.html 引入線程是為了減少程序在並發執行時所付出的時空開銷。 屬性: 輕型實體。它不擁有系統資源,只

MediaPlayerAudioTrack播放Audio的區別

frame ont 支持 BE 很大的 解碼 參數 最大 fling 播放聲音可以用MediaPlayer和AudioTrack,兩者都提供了java API供應用開發者使用。雖然都可以播放聲音,但兩者還是有很大的區別的。其中最大的區別是MediaPlayer可以播放多種格

虛擬主機、VPS雲主機、服務器之間的區別

虛擬主機、VPS和雲主機、服務器之間的區一、四者的概念: (1) 虛擬主機從互聯網誕生至今,大部分站長都是從虛擬主機開始學習建站的。所謂虛擬主機就是一臺服務器上有許多網站,大家共享這臺服務器的硬件和帶寬。如果它發生故障,那麽上面的所有網站都無法訪問。 (2) VPS主機也叫作虛擬專用服務器,它是將一部服務器分

面試常考點:httphttps的區別

vps sock 選擇 請求 網站 國家 報文 體系 soc 超文本傳輸協議HTTP協議被用於在Web瀏覽器和網站服務器之間傳遞信息,HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,

內存,寄存器cache的區別

拷貝 技巧 line 一段時間 arc 但是 nbsp 貴的 硬盤 1. 寄存器是中央處理器內的組成部份。寄存器是有限存貯容量的高速存貯部件,它們可用來暫存指令、數據和位址。在中央處理器的控制部件中,包含的寄存器有指令寄存器(IR)和程序計數器(PC)。在中央處理器的算術及

SpringCloud | FeignClientRibbon重試機制區別

feign per spec 笛卡爾 making log tag tom str 在spring cloud體系項目中,引入的重試機制保證了高可用的同時,也會帶來一些其它的問題,如冪等操作或一些沒必要的重試。 今天就來分別分析一下 FeignClient 和

DOMBOM的區別

javascrip close 文檔 跳轉 bject 的區別 對象 html 屬性 文檔對象模型 (DOM):處理網頁內容的方法和接口 瀏覽器對象模型(BOM):與瀏覽器交互的方法和接口 1. DOM 是 W3C的標準;[所有瀏覽器公共遵守的標準] 2. BOM 是 各個

詳談getpost的區別

執行 con Nid yahoo style post 瀏覽器 處理 mar Http定義了與服務器交互的不同方法,最基本的方法有4種,分別是GET,POST,PUT,DELETE。URL全稱是資源描述符,我們可以這樣認為:一個URL地址,它用於描述一個網絡上的資源,而HT

httphttps協議的區別

分隔 cli 秘鑰 指點 cnblogs mime page 足夠 驗證 一.HTTP協議   1.官方概念:     HTTP協議是Hyper Text Transfer Protocol(超文本傳輸協議)的縮寫,是用於從萬維網(WWW:World Wide Web

python3的evalexec的區別

ring 動態 world eval eth ins 代碼 ram 空間 eval: 可以把字符串裏的字符轉換為可執行代碼,但只支持一行字符。可以返回執行後得到的值。如下: f = "3+6+9+8"s = eval(f)print(s)輸出: "C:\Program

面試題目1:springspringmvc的區別

details 簡介 對象 hand sdn ioc servlet 填充 model 一、spring框架的介紹 spring是一個一站式的框架,提供了表現層(springmvc)到業務層(spring)再到數據層(springdata)的全套解決方案;spr

DNSCDN的區別

根據 用戶訪問 pin 數據返回 查詢 href 導致 方式 訪問 現在互聯網用戶很多不能理解CDN和DNS之間的關系,他們之間到底有什麽區別。對於這兩者永遠處於模糊的概念。其實二者是相輔相成的,二者搭配起來能使網站更加安全,快速。v2-用戶訪問未使用CDN緩存網站的過程為

(轉)虛擬內存內存映射文件區別

程序 指令 ref 知識庫 緩沖 網站架構 文件的 計算機 聯系   虛擬內存與內存映射文件是操作系統內存管理的重要部分,二者有相似也有不同的地方,本文是作者學習與應用中得到的一些體會,有錯誤的地方,請提點。 二者的聯系:虛擬內存與內存映射文件都是將一部分內容加載的內存,另

DataStage中merge、lookup、join的區別

處理過程 key 占用內存 效率 功能 要求 過程 事實表 lookup 三者功能類似,都可以將表連接起來進行輸出。 區別主要體現在性能上。 lookup就是一個表在另一個表中找,處理過程都在內存進行,因此占用內存較多,一般大事實表和小緯表用這種方式關聯效率高。 merge

sessioncookie區別&它們的用法

購物 執行 aaa 用戶數據 啟動 偽造 對象 fun val (一)、區別1、cookie數據存放在客戶的瀏覽器上,session數據放在服務器上。2、cookie不是很安全,別人可以分析存放在本地的COOKIE並進行COOKIE欺騙 考慮到安全應當使用session