Cookie和Session

Cookie与Session详解
最新推荐文章于 2023-04-24 20:59:44 发布
原创 最新推荐文章于 2023-04-24 20:59:44 发布 · 140 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#session #cookie

本文深入讲解了Cookie和Session的工作原理及应用。详细介绍了Cookie作为客户端技术如何存储数据并随请求发送回服务器,以及Session作为服务器端技术如何为每个用户会话提供持久化的存储空间。探讨了它们在安全性、稳定性及数据保存时长方面的特点。

**

要了解Cookie和Session就要知道什么是会话?**

**会话**:就是浏览器和服务器之间多次发生的请求和响应,叫做浏览器和服务器之间的一次会话。
会话开始浏览器第一次访问服务器,结束,浏览器最后一次访问浏览器,并且浏览器关闭为止

Cookie原理:
比如:浏览器向服务器发送一个请求将商品添加到购物车中(prod=手机),首先服务器要先获取商品的信息,[String prod = request.getParameter(“prod”)]
获取后,创建Cookie对象,将商品信息保存到Cookie中 [Cookie cookie = new Cookie(“prod”,“手机”);],
再将cookie保存到response响应对象中,一起响应到浏览器中[response.addCookie(cookie);],
最后浏览器将Cookie保存到浏览器内部中,只要Cookie没有过期,后面浏览器每次访问服务器都会把Cookie带过去,需要时获取 Cookie信息,来实现某种功能。

  1. Cookie是客户端技术

  2. Cookie工作是基于两个头Set-Cookie响应头和Cookie请求头

  3. 通过Set-Cookie响应头将cookie从服务器端发送给浏览器,让浏览器保存到内部;而浏览器一旦保存了cookie,以后浏览器每次访问服务器时,都会通过cookie请求头,将cookie信息再带回服务器中。在需要时,在服务器端可以获取请求中的cookie中的数据,从而实现某些功能。

Cookie的API

  1. 创建Cookie对象
    Cookie cookie = new Cookie(String name,String Value);//当cookie里的name确定后,就不能修改;

  2. 将Cookie添加到response中
    response.addCookie(cookie);//可以存储多个Cookie

  3. 在服务器中获取请求中的所有Cookie
    Cookie[] arrayCookies = request.getCookies();//返回值是Cookie对象组成的数组

Cookie 常用方法
cookie.getName();//获取Cookie的名字
cookie.getValue();//获取Cookie保存的值
cookie.setValue();//修改Cookie中保存的值
cookie.setMaxAge();//设置cookie的最大存活时间(不设置,cookie默认在一次会话结束后销毁)
用了setMaxAge cookie就不会保存在浏览器内部了,而是以文件的形式保存到硬盘中。

Session 原理

  1. Session是将会话中产生的数据保存在服务器端,是服务器端技术
  2. Session是一个域对象,session中也保存了一个map集合,往session中存数据,其实就是将数据保存到session的map集合中。
  3. 通过session.setAttribute()方法可以将数据保存到session中,通过session.getAttribute()方法可以将数据从session中取出来。

session和cookie是相反的,就是将存储的数据存在服务器中的session中,也就是存在map集合中

		获取session对象
		request.getSession() 
		// 获取一个session对象;如果在服务器内部有当前浏览器对应的session,则直接返回该session对象;如果没有对应session,则会创建一个新的session对象再返回;

 	Session是一个域对象,session中也保存了一个map集合,并且session中也提供了存取数据的方法
 		session.setAttribute(String attrName, Object attrValue); 
		// 往session域中添加一个域属性,属性名只能是字符串类型,属性值可以是任意类型。
		session.getAttribute(String attrName);
		// 根据属性名获取域中的属性值,返回值是一个Object类型

Session域对象的三大特征

	**(1)生命周期:**

			**创建session:**第一次调用request.getSession()方法时,会创建一个session对象。(当浏览器在服务器端没有对应的session时,调用								     request.getSession()方法服务器会创建一个session对象。)

			**销毁session:**

			1. 超时销毁:默认情况下,当超过30分钟没有访问session,session就会超时销毁。(30分钟是默认时间,可以修改,但不推荐修改)

			2. 自杀:调用session的invalidate方法时,会立即销毁session。

			3. 意外身亡:当服务器非正常关闭时(硬件损坏,断电,内存溢出等导致服务器非正常关闭),session会随着服务器的关闭而销毁;

			当服务器正常关闭,在关闭之前,服务器会将内部的session对象序列化保存到服务器的work目录下,变为一个文件。这个过程叫	 做session的钝化(序列化);再次将服务器启动起来,钝化着的session会再次回到服务器,变为服务器中的对象,这个过程叫做session的活化(反序列化)。

	**(2)作用范围:**在一次会话范围内(获取到的都是同一个session对象)

	**(3)主要功能:**在整个会话范围内实现数据的共享

Cookie的特点:

  1. cookie是将会话中产生的数据保存在浏览器客户端, 是客户端技术(JS可以访问cookie)

  2. cookie是将数据保存在客户端浏览器,容易随着用户的操作导致cookie丢失或者被窃取,因此cookie中保存的数据不太稳定,也不太安全。

  3. 但cookie将数据保存在客户端,对服务器端没有太多影响,可以将数据保存很长时间。

  4. 总结:因此cookie中适合存储需要长时间保存、但对安全性要求不高的数据。

  5. 浏览器对cookie的大小和个数都有限制,一般推荐每一个站点给浏览器发送的cookie数量不超过20个,每一个cookie的大小不超过1kb。

  6. Cookie的应用:实现购物车、记住用户名、30天内自动登录等。

Session的特点

  1. session是将会话中产生的数据保存在服务器端,是服务器端技术
  2. session将数据存在服务器端的session对象中,相对更加的安全,而且更加稳定。不容易随着用户的操作而导致session中的数据丢失或者是被窃取。
  3. 但session是服务器端的对象,在并发量较高时每一个浏览器客户端在服务器端都要对应一个session对象,占用服务器的内存空间,影响效率。
  4. 总结:因此session中适合存储对安全性要求较高,但不需要长时间保存的数据。
  5. Session的应用:保存登录状态、保存验证码
CJDTH
关注
用户Session 会话机制
program_red的专栏
06-15 2689
博由 Session策略 1个站点 Cookie 保存会话 Session Sticky粘性会话 Session ReplicationSession复制 集中存储 总结博由 本文针对:用户Session在不同的系统场景如何解决?进行分析记录。Session策略1个站点在展开话题之前,先看看一个普通的分布式站点是咋样的? Cookie 保存会话[1] 发生位置:用户侧(例如:浏览器)
CookieSession介绍
qiaotl的博客
07-18 1669
通过实际应用详细介绍CookieSession的区别以及如何使用他们
cookiesession的区别
qq_47776903的博客
09-16 198
cookie的工作原理 1.Cookie是将会话中产生的数据保存在客户端,是客户端的技术 2.Cookie是基于两个头进行工作的:分别是Set-Cookie响应头Cookie请求头 3.通过Set-Cookie响应头将cookie从服务器端发送给浏览器,让浏览器保存到内部;而浏览器一旦保存了cookie,以后浏览器每次访问服务器时,都会通过cookie请求头,将cookie信息再带回服务器中。在需要时,在服务器端可以获取请求中的cookie中的数据,从而实现某些功能。 cookie的API及应用 1、创建
Cookie&Session
han_yimi_123456的博客
04-21 178
会话技术 会话:一次会话中包含多次请求响应。(一次会话:浏览器第一次各服务器资源发送请求,会话建立,直到有一方断开为止。) 功能:在一次会话的范围内的多次请求间,共享数据 方式: (1)客户端会话技术Cookie; (2)服务器端会话技术SessionCookie 概念:客户端会话技术,将数据保存到客户端 使用步骤: //(1)创建Cookie对象,绑定数据 //方法:new Cookie(String name, String value) Cookie cookie=new Cookie
【java】Cookie --- 客户端会话技术
来日浅谈的博客
01-10 502
【java】Cookie --- 客户端会话技术1. 会话技术2. Cookie2.1 什么是Cookie?2.2 Cookie快速入门2.3 Cookie实现原理机制2.4 Cookie的细节2.5 Cookie的特点作用2.6 案例:记住上一次访问时间 1. 会话技术 会话:一次会话中包含多次请求响应。 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止 功...
Session(会话)
weixin_43694465的博客
01-07 507
1.3 Session 1.3.1 Session的工作原理 session是将会话中产生的数据保存在服务器端的session对象里,是服务器端技术。 session之所以可以保存会话中产生的数据,是因为session是一个域对象,而且session的作用范围是整个会话范围内。 当需要保存数据时,可以通过request.getSession方法获取一个session对象,再调用session.s...
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
ThinkPHP的cookiesession冲突造成Cookie不能使用的解决方法
10-25
在使用ThinkPHP框架开发网站过程中,经常会有涉及到用户登录验证、投票系统等功能,这些功能往往需要用到sessioncookie来实现。但有些时候,开发者可能会遇到sessioncookie之间冲突的问题,导致cookie无法使用。...
express之cookiesession
01-20
cookiesession的基本概念与特性在之前的博文中已经有所介绍,所以这里就只简单的写一下express中cookiesession的设置与获取. 1.cookie  HTTP是无状态的链接, 你请求一个网页结束以后,此时你服务器之间没有任何...
会话技术(cookiesession
javaren001的博客
05-17 369
会话技术一、会话技术二、Cookie2.1 发送Cookie2.2 Cookie的使用细节(存活存储中文)三、Session3.1 Session的获取3.2 Session是如何保证在一次会话中获取的Session对象是同一个呢?3.3 服务器重启后,Session中的数据是否还在?3.4 Session销毁四、CookieSession小结 一、会话技术 会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求响应。 会话跟踪:一
《Oracle Java EE编程自学面试指南》09-02:HttpSession接口
西安极客联盟
09-14 671
Servlet API中,定义了HttpSession接口,用来封装会话对象。 HttpSession是接口,不能直接用new创建对象,会话对象是容器创建的,使用HttpServletRequest中的方法获得会话对象。
会话与会话技术(Session
Thewei666的博客
04-24 928
当浏览器访问Web服务器时,Servlet容器就会创建一个Session对象ID属性,当客户端后续访问服务器时,只要将ID传递给服务器,服务器就能判断出该请求是哪个客户端发送的,从而选择与之对应的Session对象为其服务除此之外,Session还具有更高的安全性,它将关键数据保存在服务器中。而Cookie将数据保存在客户端的浏览器中。因此Cookie是较为危险的,若客户端遭遇黑客攻击,Cookie信息容易被窃取,数据也可能被篡改,而运用Session可以有效的避免这种情况的发生。
session会话
hyy_7184的博客
05-23 486
session对象session 对象是由服务器自动创建的与用户请求相关的对象。服务器为每个用户都生成一个session对象,用于保存该用户的信息,跟踪用户的操作状态。session对象内部使用Map类来保存数据,因此保存数据的格式为 “Key/value”。 session对象的value可以使复杂的对象类型,而不仅仅局限于字符串类型。值为o的数据存储到session对象中;o为对象类型 set...
会话技术:sessioncookie的区别
qq_41898818的博客
12-02 688
一:了解会话技术 1.会话技术主要解决用户身份识别 2.具体实现方法:session cookie 3.操作流程:创建会话 存储会话 删除会话 二:了解二者区别 1.cookie数据存放在客户的浏览器上    session数据存放在web服务器端 2.cookie安全性低 考虑安全性将东西存放在session上 3.session会在一定时间内保存到服务器上 当访问增多 会占用...
会话机制(SessionCookie
weixin_44543412的博客
06-05 1697
会话机制(SessionCookie) 开发工具与关键技术:Visual Studio 前端 作者:盘子 撰写时间:2019年6 月 1日 通过学习做登录了解到会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份...
会话技术 ---cookie(客户端)Session (服务端)
我是泛滥
06-22 833
会话技术一、会话技术二、Cookie客户端会话技术1. 概念2. 快速入门:3. 实现原理4. cookie的细节1. 一次可不可以发送多个cookie?2. cookie在浏览器中保存多长时间?3. cookie能不能存中文?4. cookie共享问题?5. Cookie的特点作用6. 案例:记住上一次访问时间三、Session服务器端会话技术1. 概念:服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession2. 快速入门:1. 获取HttpSession
JavaWeb会话技术--Cookie(客户端会话技术)&&Session(服务器端会话技术)详解
loulan_lu的博客
05-25 237
会话技术 会话:一次会话中包含多次请求响应。 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止 功能:在一次会话的范围内的多次请求间,共享数据 方式: 客户端会话技术:Cookie 服务器端会话技术:Session Cookie: 概念:客户端会话技术,将数据保存到客户端 快速入门: 使用步骤: 创建Cookie对象,绑定数据 new Cookie(String name, String value) 发送Cookie对象 response.ad
会话技术 Cookie技术,Session技术
qq_44638443的博客
11-23 571
会话技术概述 什么是会话 会话简单理解为:用户打开一个浏览器。点击多个超链接访问服务器的web资源,然后关闭浏览器,整个过程称为是一次会话。 为什么要学习会话 每个用户与服务器进行交互过程中,产生一些各自的数据,程序员想要把这些数据进行保存,就需要使用会话技术。 例如:用户点击链接购买一个商品,程序应该保存用户所购买的商品,以便于用户点击结账可以得到用户所购买的商品信息。 思考:用户购买的商品保存在request或servletcontext中是否可以? 会话技术在...
Cookie Session
最新发布
12-08
<think>嗯,用户想了解CookieSession的概念、区别使用场景。从提供的引用内容来看,需要整理出一个清晰的结构化回答。 首先考虑基础概念部分。根据引用12,Cookie是存储在客户端的小型文本数据,由服务器通过Set-Cookie响应头设置,浏览器后续请求会自动携带。Session则是服务器端存储的用户会话信息,通常通过Session ID关联客户端,这个ID经常存储在Cookie里传递。 关于区别部分,引用1给出了详细对比维度:存储位置(客户端vs服务器)、安全性(Cookie有泄露风险)、存储容量(Cookie约4KB限制)、生命周期(Cookie可设置过期时间,Session依赖会话或超时设置)、性能(Session消耗服务器资源)等。引用3提到经典面试题常考这个区别,特别是HTTP无状态协议下它们的作用(引用4)。 使用场景方面,引用1指出Cookie适合持久化存储低敏感信息如用户偏好,Session适合存储敏感或临时数据如购物车。引用3还用医院挂号案例说明Session ID相当于就诊号,用户信息存在医院系统里。 需要特别注意安全问题。引用13都提到Cookie可能被窃取(XSS攻击)、Session可能被劫持,防护措施包括HttpOnly、Secure标记、定期更换Session ID等。引用4的面试题答案也强调HTTPS传输Session ID的重要性。 考虑在回答中加入具体示例增强理解。引用1给出JS设置CookieFlask使用Session的代码片段,准备在回答中展示基本用法。用户登录流程的交互图(引用3描述的Session创建过程)也需要用文字描述清楚。 最后需要总结两者互补关系:Session依赖Cookie传递ID是常见做法,但Token等其他方式也可行(引用3提到URL重写)。会强调现代Web开发中常结合使用,比如JWT方案其实融合了两者特性。 </think> 以下是CookieSession的核心知识整理,结合技术原理与实际应用场景: --- ### **一、基础概念** 1. **Cookie** - **定义**:服务器发送到用户浏览器并**存储在客户端**的小型文本数据(通常≤4KB)[^1][^2]。 - **工作流程**: ```mermaid graph LR A[服务器响应 Set-Cookie] --> B[浏览器存储Cookie] B --> C[后续请求自动携带Cookie] ``` - **示例代码**(JavaScript设置Cookie): ```javascript document.cookie = "username=John; expires=Thu, 18 Dec 2025 12:00:00 UTC; path=/"; ``` 2. **Session** - **定义**:服务器创建的**临时存储空间**(如用户ID、购物车数据),通过唯一Session ID关联客户端[^3]。 - **工作流程**: ```mermaid graph LR A[浏览器首次访问] --> B[服务器生成Session ID] B --> C[通过Cookie/URL传递Session ID] C --> D[服务器根据ID读取会话数据] ``` --- ### **二、核心区别** | **维度** | **Cookie** | **Session** | |----------------|-------------------------------------|----------------------------------| | 存储位置 | 客户端浏览器 | 服务器内存/数据库 | | 安全性 | 较低(可能被XSS窃取) | 较高(敏感信息不暴露给客户端) | | 存储容量 | ≤4KB(不同浏览器有差异) | 仅受服务器资源限制 | | 生命周期 | 可设长期有效(如`expires`属性) | 会话结束或超时(通常20-30分钟) | | 性能影响 | 无服务器负担 | 占用服务器资源 | | 数据传输 | 每次HTTP请求自动携带 | 仅传递Session ID | --- ### **三、使用场景** 1. **Cookie适用场景** - 记住登录状态(如`remember me`功能) - 保存用户个性化设置(语言/主题) - 跟踪用户行为(匿名数据分析)[^4] 2. **Session适用场景** - 存储敏感数据(银行卡号、地址) - 购物车信息临时存储 - 多步骤表单流程(如注册流程)[^1][^3] --- ### **四、安全实践** | **风险** | **防护措施** | |------------------|---------------------------------------| | Cookie劫持 | 添加`HttpOnly``Secure`属性 | | Session固定攻击 | 登录后重置Session ID | | CSRF攻击 | 同步使用CSRF Token | | 数据泄露 | Session数据加密存储(如AES-256) | > ✅ **最佳实践**:敏感操作(如支付)采用`Session + HTTPS`,非敏感数据用Cookie[^3]。 --- ### **五、经典面试题解析** 1. **Q: 如何解决分布式系统的Session共享?** - **A**:使用集中存储方案(Redis集群),避免服务器本地存储导致的会话丢失。 2. **Q: 禁用Cookie后如何使用Session?** - **A**:通过URL重写传递Session ID(如`/path;jsessionid=xxx`),但需注意URL暴露风险[^1]。 3. **Q: 为什么Session需要Cookie配合?** - **A**:HTTP协议无状态,Session ID需通过Cookie(或URL)在请求间传递以维持会话[^4]。 --- ### **六、总结** - **协作关系**:Session依赖Cookie传递ID是常见模式,但非唯一方案(如Token认证)。 - **趋势**:现代Web应用趋向**JWT(JSON Web Token)** 替代传统Session,实现无状态认证。 - **设计原则**: > 安全性要求高 → 用Session; > 跨会话持久化 → 用Cookie。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值