一、Cookie
1.1概念
Cookie 是一种在客户端存储数据的技术,它是由服务器发送给客户端的小型文本文件,存储在客户端的浏览器中,大小限制大致在 4KB 左右。在客户端发送请求时,浏览器会自动将相应的 Cookie 信息发送给服务器,服务器通过读取 Cookie 信息,就可以判断该请求来自哪个客户端。
1.2存储数据的特点
1、cookie 有存储大小限制,4KB 左右。
2、浏览器每次请求会携带 cookie 在请求头中。
3、字符编码为 Unicode,不支持直接存储中文。
4、数据可以被轻易查看。
1.3使用流程
-
客户端发送请求到服务端(比如登录请求)。
-
服务端收到请求后生成一个 session 会话。
-
服务端响应客户端,并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId,它的格式如下:Set-Cookie: value[; expires=date](#; expires=date)[; path=path](#; path=path)。其中 sessionId 就是用来标识客户端的,类似于去饭店里面,服务员给你一个号牌,后续上菜通过这个号牌来判断上菜到哪里。
-
客户端收到该请求后,如果服务器给了 Set-Cookie,那么下次浏览器就会在请求头中自动携带 cookie。
-
客户端发送其它请求,自动携带了 cookie,cookie 中携带有用户信息等。
-
服务端接收到请求,验证 cookie 信息,比如通过 sessionId 来判断是否存在会话,存在则正常响应。
二、Session
2.1概念
session 由服务端创建,当一个请求发送到服务端时,服务器会检索该请求里面有没有包含 sessionId 标识,如果包含了 sessionId,则代表服务端已经和客户端创建过 session,然后就通过这个 sessionId 去查找真正的 session,如果没找到,则为客户端创建一个新的 session,并生成一个新的 sessionId 与 session 对应,然后在响应的时候将 sessionId 给客户端,通常是存储在 cookie 中。如果在请求中找到了真正的 session,验证通过,正常处理该请求。
每一个客户端与服务端连接,服务端都会为该客户端创建一个 session,并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端,客户端将 sessionId 存到 cookie 中。
三、Cookie和Session的区别
cookie 和 session,它们两者之间主要是通过 sessionId 关联起来的,所以总结出:sessionId 是 cookie 和 session 之间的桥梁。
session 是基于 cookie 实现的,它们两个主要有以下特点:
-
session 比 cookie 更加安全,因为它是存在服务端的,cookie 是存在客户端的。
-
cookie 只支持存储字符串数据,session 可以存储任意数据。
-
cookie 的有效期可以设置较长时间,session 有效期都比较短。
-
session 存储空间很大,cookie 有限制。