文章分享

開放、平等、協(xié)作、快速、分享

當前位置:首頁>文章分享

Cookie與Session

摘錄:HCTech 無錫和控電子   時間:2020-08-07   訪問量:3672

滿多少次送1次  理發(fā)等 

 

Cookie:

 

HTTP協(xié)議本身是無狀態(tài)的,這與HTTP協(xié)議本來的目的是相符的,客戶端只需要簡單的向服務器請求下載某些文件,無論是客戶端還是服務器都沒有必要紀錄彼此過去的行為,每一次請求之間都是獨立的,好比一個顧客和一個自動售貨機或者一個普通的(非會員制)大賣場之間的關系一樣。 

 

然而聰明的人們很快發(fā)現(xiàn)如果能夠提供一些按需生成的動態(tài)信息會使web變得更加有用,就像給有線電視加上點播功能一樣。這種需求一方面迫使HTML逐步添加了表單、腳本、DOM等客戶端行為,另一方面在服務器端則出現(xiàn)了CGI規(guī)范以響應客戶端的動態(tài)請求,作為傳輸載體的HTTP協(xié)議也添加了文件上載、cookie這些特性。其中cookie的作用就是為了解決HTTP協(xié)議無狀態(tài)的缺陷所作出的努力。至于后來出現(xiàn)的session機制則是又一種在客戶端與服務器之間保持狀態(tài)的解決方案。 

 

Cookies是作為HTTP傳輸?shù)念^信息的一部分發(fā)給客戶機的,所以向客戶機發(fā)送Cookies的代碼一般放在發(fā)送給瀏覽器的HTML文件的標記之前。

 

正統(tǒng)的cookie分發(fā)是通過擴展HTTP協(xié)議來實現(xiàn)的,服務器通過在HTTP的響應頭中加上一行特殊的指示以提示瀏覽器按照指示生成相應的cookie。然而純粹的客戶端腳本如JavaScript或者VBScript也可以生成cookie。 

而cookie的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務器的。瀏覽器檢查所有存儲的cookie,如果某個cookie所聲明的作用范圍大于等于將要請求的資源所在的位置,則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務器。

  

由于Cookies的信息并不都是以文件形式存放在計算機里,還有部分信息保存在內(nèi)存里。比如你在瀏覽網(wǎng)站的時候,Web服務器會自動在內(nèi)存中生成Cookie,當你關閉IE瀏覽器的時候又自動把Cookie刪除

 

默認情況下,如果在某個頁面創(chuàng)建了一個cookie,那么該頁面所在目錄中的其他頁面也可以訪問該cookie。如果這個目錄下還有子目錄,則在子目錄中也可以訪問。

例如在www.xxxx.com/html/a.html中所創(chuàng)建的cookie,可以被www.xxxx.com/html/b.html或www.xxx.com/ html/some/c.html所訪問,但不能被www.xxxx.com/d.html訪問。 

語法如下: document.cookie="name=value; path=cookieDir"; 其中cookieDir表示可訪問cookie的目錄。

例如: document.cookie="userId=320; path=/shop"; 就表示當前cookie僅能在shop目錄下使用。 如果要使cookie在整個網(wǎng)站下可用,可以將cookie_dir指定為根目錄,例如: document.cookie="userId=320; path=/"; 

  

hosts文件實際上可以看成一個本機的DNS系統(tǒng),它可以負責把域名解釋成IP地址,它的優(yōu)先權(quán)比DNS服務器要高,它的具體實現(xiàn)是TCP/IP協(xié)議中的一部分。

  

一、cookie機制和session機制的區(qū)別

***********************************************************************

具體來說cookie機制采用的是在客戶端保持狀態(tài)的方案,而session機制采用的是在服務器端保持狀態(tài)的方案。

同時我們也看到,由于服務器端保持狀態(tài)的方案在客戶端也需要保存一個標識,所以session機制可能需要借助于cookie機制來達到保存標識的目的但實際上還有其他選擇

  

二、會話cookie持久cookie的區(qū)別

***********************************************************************

如果不設置過期時間,則表示這個cookie生命周期為瀏覽器會話期間,只要關閉瀏覽器窗口,cookie就消失了。這種生命期為瀏覽會話期的cookie被稱為會話cookie。會話cookie一般不保存在硬盤上而是保存在內(nèi)存里。

  如果設置了過期時間,瀏覽器就會把cookie保存到硬盤上,關閉后再次打開瀏覽器,這些cookie依然有效直到超過設定的過期時間,如果過了此期限Cookies就自動被刪除。

 

  存儲在硬盤上的cookie可以在不同的瀏覽器進程(注意不是不同的瀏覽器)間共享,比如兩個IE窗口。而對于保存在內(nèi)存的cookie,不同的瀏覽器有不同的處理方式。

  

三、cookie如何解決快瀏覽器共享?

就是在IE里瀏覽器一個網(wǎng)站存了一些cookie,如何在別的瀏覽器再次打開這個網(wǎng)站還能去讀到這些cookie.

 

cookie多瀏覽器實際上也是cookie跨域解決方案的范疇。

可通過cookie + JSONP來實現(xiàn)

 

cookies屬于隱私數(shù)據(jù),不同瀏覽器保存在不同地方。不可能共享的。

再說了市面上也基本見不到跨瀏覽器共享cookie的網(wǎng)站

 

在同一個瀏覽器中,打開不同的網(wǎng)站可以讀取cookie是可以實現(xiàn)的,也就是所謂的跨域訪問cookie

 

那個應該叫跨瀏覽器訪問cookie 而不是跨域

跨域的概念是: b域試圖訪問a域下的資源。

你用firefox打開的web.qq.com, 難道用ie或者chrome代開的難道不是這個域名了

存儲和跟蹤用戶數(shù)據(jù)的方式不僅現(xiàn)于cookie, 比如可以記住你的ip, 或者讓上所說使用flash

大概搜索了下 沒找到所謂的跨瀏覽器操作cookie

  

 

Session:

 

 session機制是一種服務器端的機制,服務器使用一種類似于散列表的結(jié)構(gòu)(也可能就是使用散列表)來保存信息。 

 

 當程序需要為某個客戶端的請求創(chuàng)建一個session的時候,服務器首先檢查這個客戶端的請求里是否已包含了一個session標識 - 稱為session id,如果已包含一個session id則說明以前已經(jīng)為此客戶端創(chuàng)建過session,服務器就按照session id把這個session檢索出來使用(如果檢索不到,可能會新建一個),如果客戶端請求不包含session id,則為此客戶端創(chuàng)建一個session并且生成一個與此session相關聯(lián)的session id,session id的值應該是一個既不會重復,又不容易被找到規(guī)律以仿造的字符串,這個session id將被在本次響應中返回給客戶端保存。 

 

Session是什么

 

HTTP協(xié)議是一種無狀態(tài)的協(xié)議,用戶通過瀏覽器訪問服務端的每次請求都是相互獨立的,服務端無法直接通過HTTP請求來判斷上次請求的用戶和本次請求的用戶是否是同一人,當然,你可以使用Cookie來傳遞用戶狀態(tài)的標識,但是每次發(fā)起請求都必須來回傳遞這些Cookie數(shù)據(jù),為了實現(xiàn)更多的狀態(tài)跟蹤,傳遞的Cookie數(shù)據(jù)會越來越多,這無形中增加了瀏覽器與服務端的數(shù)據(jù)傳輸?shù)膲毫蛷碗s性,Cookie的大小不僅有限制,而且這種方式是不安全的,容易被盜取和篡改,然而session的出現(xiàn)正解決了這些問題。session是存儲于服務端的、用于記錄和保持某些狀態(tài)的一種會話跟蹤技術。用戶通過瀏覽器發(fā)起請求的時候,不用每次都回傳所有的Cookie值了,只要回傳一個key-value的鍵值對就可以了,一般情況下這個key為JSESIONID,value為客戶端第一次訪問服務端時生成的唯一值,這個value可以標識和跟蹤用戶的會話信息,這個value在服務端被習慣稱作sessionId。

 

如何實現(xiàn)保持會話

 

正常情況下,用戶第一次通過瀏覽器請求服務端的時候是沒有value的,此時服務端會通過request.getSession()方法創(chuàng)建一個HttpSession對象,并給它設置一個有效期,然后將這個對象存儲在sessions的容器中,同時會把sessionId返回給瀏覽器端。如果用戶再次發(fā)起請求,服務端在解析得到sessionId后,會判斷sessionId對應的HttpSession是否存在,如果不存在,會創(chuàng)建一個HttpSession對象,并將這個對象存儲在sessions的容器中,同時會把sessionId返回給瀏覽器端;如果存在,將可以得到對應的HttpSession對象,這個HttpSession對象可以存儲很多狀態(tài)或表示數(shù)據(jù),如session.setAttribute(),從而實現(xiàn)會話跟蹤。

 

session對象都有一個有效期,一般情況下,應用容器都會有一個后臺線程用于檢查每個session是否失效,如果失效將會被清除。而值得注意的是,調(diào)用request.getSession()時會檢查對應的session對象是否過期,如果過期將會創(chuàng)建一個新session對象。

 

在應用容器重啟或關閉的時候,未過期的session對象會被持久化到一個SESSIONS.ser文件中,當應用容器再次啟動的時候,會重新讀取SESSIONS.ser中所有未過期的session對象,并將它們存儲到sessions集合中。一個應用服務器存儲一套session數(shù)據(jù)。

 

一、保存session id的幾種方式

1、cookie,這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標識發(fā)揮給服務器。一般這個cookie的名字都是類似于SEEESIONID,而。比如weblogic對于web應用程序生成的cookie,JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,它的名字就是JSESSIONID。

 

 

 

2、由于cookie可以被人為的禁止,必須有其他機制以便在cookie被禁止時仍然能夠把session id傳遞回服務器,經(jīng)常被使用的一種技術叫做URL重寫,就是把session id直接附加在URL路徑的后面。

附加方式也有兩種,

一種是作為URL路徑的附加信息,表現(xiàn)形式為http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 

另一種是作為查詢字符串附加在URL后面,表現(xiàn)形式為http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 

 

這兩種方式對于用戶來說是沒有區(qū)別的,只是服務器在解析的時候處理的方式不同,采用第一種方式也有利于把session id的信息和正常程序參數(shù)區(qū)分開來。 

為了在整個交互過程中始終保持狀態(tài),就必須在每個客戶端可能請求的路徑后面都包含這個session id。 

 

3、另一種技術叫做表單隱藏字段。就是服務器會自動修改表單,添加一個隱藏字段,以便在表單提交時能夠把session id傳遞回服務器。比如下面的表單: 

   

   <form name="testform" action="/xxx"> 

<input type="text"> 

    </form> 

 

    在被傳遞給客戶端之前將被改寫成: 

 

    <form name="testform" action="/xxx"> 

<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 

<input type="text"> 

    </form> 

 

    這種技術現(xiàn)在已較少應用,很古老的iPlanet6(SunONE應用服務器的前身)就使用了這種技術。 

實際上這種技術可以簡單的用對action應用URL重寫來代替。 

 

 

二、session什么時候被創(chuàng)建

一個常見的錯誤是以為session在有客戶端訪問時就被創(chuàng)建,然而事實是直到某server端程序(如Servlet)調(diào)用HttpServletRequest.getSession(true)這樣的語句時才會被創(chuàng)建

 

注意如果JSP沒有顯示的使用 <%@page session="false"%> 關閉session,則JSP文件在編譯成Servlet時將會自動加上這樣一條語句HttpSession session = HttpServletRequest.getSession(true);這也是JSP中隱含的session對象的來歷。

  

三、session何時被刪除

 

session在下列情況下被刪除:

A.程序調(diào)用HttpSession.invalidate()

B.距離上一次收到客戶端發(fā)送的session id時間間隔超過了session的最大有效時間

C.服務器進程被停止

再次注意關閉瀏覽器只會使存儲在客戶端瀏覽器內(nèi)存中的session cookie失效,不會使服務器端的session對象失效。

 

四、是否只要關閉瀏覽器,session就消失了

程序一般都是在用戶做login off的時候發(fā)個指令去刪除session,然而瀏覽器從來不會主動在關閉之前通知服務器它將要被關閉,因此服務器根本不會有機會知道瀏覽器已經(jīng)關閉。服務器會一直保留這個會話對象直到它處于非活動狀態(tài)超過設定的間隔為止。

之所以會有這種錯誤的認識,是因為大部分session機制都使用會話cookie來保存session id,而關閉瀏覽器后這個session id就消失了,再次連接到服務器時也就無法找到原來的session。

如果服務器設置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發(fā)出的HTTP請求報頭,把原來的session id發(fā)送到服務器,則再次打開瀏覽器仍然能夠找到原來的session。

恰恰是由于關閉瀏覽器不會導致session被刪除,迫使服務器為session設置了一個失效時間,當距離客戶上一次使用session的時間超過了這個失效時間時,服務器就可以認為客戶端已經(jīng)停止了活動,才會把session刪除以節(jié)省存儲空間。

 

由此我們可以得出如下結(jié)論:

  關閉瀏覽器,只會是瀏覽器端內(nèi)存里的session cookie消失,但不會使保存在服務器端的session對象消失,同樣也不會使已經(jīng)保存到硬盤上的持久化cookie消失。

 

 

五、打開兩個瀏覽器窗口訪問應用程序會使用同一個session還是不同的session

 

通常session cookie是不能跨窗口使用的,當你新開了一個瀏覽器窗口進入相同頁面時,系統(tǒng)會賦予你一個新的session id,這樣我們信息共享的目的就達不到了。

此時我們可以先把session id保存在persistent cookie中(通過設置session的最大有效時間),然后在新窗口中讀出來,就可以得到上一個窗口的session id了,這樣通過session cookie和persistent cookie的結(jié)合我們就可以實現(xiàn)了跨窗口的會話跟蹤。

 

==============================================================

今天在測試Ticket時,發(fā)現(xiàn)原來保存的Cookie莫名其妙的就被清除了,自己沒有做過任何的改動。經(jīng)開發(fā)人員Allon推斷,應該是Cookie數(shù)量達到了瀏覽器的限制。

 

網(wǎng)上查找出來的結(jié)果是:

 

一、瀏覽器允許每個域名所包含的cookie數(shù):

 

  Microsoft指出InternetExplorer8增加cookie限制為每個域名50個,但IE7似乎也允許每個域名50個cookie。

  Firefox每個域名cookie限制為50個。

  Opera每個域名cookie限制為30個。

  Safari/WebKit貌似沒有cookie限制。但是如果cookie很多,則會使header大小超過服務器的處理的限制,會導致錯誤發(fā)生。

 

  注:“每個域名cookie限制為20個”將不再正確!

 

二、當很多的cookie被設置,瀏覽器如何去響應。

 

  除Safari(可以設置全部cookie,不管數(shù)量多少),有兩個方法:

  最少最近使用(leastrecentlyused(LRU))的方法:當Cookie已達到限額,自動踢除最老的Cookie,以使給最新的Cookie一些空間。Internet Explorer和Opera使用此方法。

 

  Firefox很獨特:雖然最后的設置的Cookie始終保留,但似乎隨機決定哪些cookie被保留。似乎沒有任何計劃(建議:在Firefox中不要超過Cookie限制)。

 

三、不同瀏覽器間cookie總大小也不同:

 

  Firefox和Safari允許cookie多達4097個字節(jié),包括名(name)、值(value)和等號。

  Opera允許cookie多達4096個字節(jié),包括:名(name)、值(value)和等號。

  Internet Explorer允許cookie多達4095個字節(jié),包括:名(name)、值(value)和等號。

 

      注:多字節(jié)字符計算為兩個字節(jié)。在所有瀏覽器中,任何cookie大小超過限制都被忽略,且永遠不會被設置。


上一篇:JSON Web Tokens (JWT) 與 Sessions

下一篇:Cookie與Session有何異同?

在線咨詢

點擊這里給我發(fā)消息 售前咨詢專員

點擊這里給我發(fā)消息 售后服務專員

在線咨詢

免費通話

24小時免費咨詢

請輸入您的聯(lián)系電話,座機請加區(qū)號

免費通話

微信掃一掃

微信聯(lián)系
返回頂部