理解HTTP协议中的Cookie及其与Session的区别

最新推荐文章于 2021-11-09 20:54:31 发布
转载 最新推荐文章于 2021-11-09 20:54:31 发布 · 1.4k 阅读 · 3

本文探讨HTTP协议的无状态特性及其带来的挑战,详细解析Cookie与Session如何解决状态跟踪问题,对比它们的工作原理、存储位置及安全性差异。

CookieSession都是为了解决HTTP协议的无状态问题,存储HTTP通讯中客户端与服务器之间的会话状态。不同的是Cookie依赖HTTP请求头与响应头实现且存储在客户端,而Session存储在服务器端,Session可以通过Cookie实现,也可以使用URL回写的方式实现。

  1. Cookie
  2. Session

1. HTTP的无状态性

1.1 HTTP无状态带来的问题

HTTP协议是无状态的,客户端(浏览器)与服务器之间基于请求-响应实现数据交互,响应结束后两者之间的连接就会断开。由于每次会话都是一新连接,所以服务器无法从连接上获取会话状态。这样就会带来一些问题,如:页面发生跳转后服务器无从得知用户在上一个页面的输入、也无从得知用户是否登等。

HTTP请求、响应流程

1.2 无状态问题的解决

一个HTTP请求由三部分构成:状态行请求头请求体。其中状态行请求头在所有的HTTP请求方法中都存在,而请求体只有POSTPUT等部分请求方法中存在。

如,POST请求IT笔录网站时,服务器会收到如下结构的请求:

POST / HTTP/1.0       // 状态行
HOST: itbilu.com      // 请求头
Accept-Encoding: gzip, deflate

user=myName&age=33  // 请求体

服务器收到客户端请求后,会对用户请求进行响应。一个HTTP响应也同样由三部分构成:状态行响应头响应体。与HTTP请求类似,状态行响应头在所有HTTP请求响应中都会存在,而响应体只存在于部分HTTP请求方法的响应中。

如,IT笔录收到上面的请求后,会返回一个如下结构的HTTP响应:

HTTP/1.0 200 OK          // 状态行
Content-type: text/html  // 响应头

……      // 响应体

如上所示,HTTP请求/响应中,除正文外还有一个请求/响应头。而这个请求/响应头都是可设置的,根据这一特征我们可以请求头中加一个记录用户状态信息请求头,就可以实现用户状态的传递。

这也正是Cookie的实现方式。Cookie是存储在客户端的一个特殊的字符串,在发送HTTP请求时,这个字符串会添加到一个名为Cookie的请求头中一同发送到服务器。Session的实现方式也类似,不同的是状态信息存储在了服务器中,而只在客户端的Cookie中存储了一个表示该会话标识的SessionId

 

Cookie通过Cookie请求头和Set-Cookie响应头实现:

  • Set-Cookie - 服务器响应头,用于告诉客户端要设置Cookie
  • Cookie - 请求头,根据Set-Cookie设置并保存到客户端的Cookie值,会在再次发送HTTP请求时通过这个请求头一同发送到服务器

Cookie实现原理如下:

Http Cookie机制及Cookie的实现原理

如上所示,用户请求客户端后,如果需要记录状态服务器会在请求响应中包含一个Set-Cookie响应头。客户端收到这个响应头到,会将Cookie保存到客户端。

对于一个需要保存状态的HTTP响应来说,请响应格式如下:

HTTP/1.0 200 OK
Set-Cookie: UserID=itbilu; Max-Age=3600; Version=1
Content-type: text/html
……

客户端收到这个响应头后,会将CookieUserID=itbilu进行存储,并设置超时时间为3600秒,而Version表示Cookie的版本。

再次请求服务器时,客户端会在请求头中包含一个Cookie请求头,其值就是之前从服务器返回的状态信息。

示例如下:
GET / HTTP/1.0
HOST: itbilu.com
Cookie: UserID=itbilu

更多关于Cookie的介绍,请参考:Http Cookie机制及Cookie的实现原理

 

3. Session

Cookie很好的解决了HTTP通讯中状态问题,但其本身也存在一些问题,如:

  1. 客户端存储,可能会被修改或删除
  2. 发送请求时,Cookie会被一起发送到服务器,当Cookie数据量较大时也会带来额外的请求数据量
  3. 客户端对Cookie数量及大小有一定的限制

Session解决了Cookie的一些缺点。Session同样是为了记录用户状态,对于每个用户来说都会有相应的一个状态值保存在服务器中,而只在客户端记录一个sessionID用于区分是哪个用户的Session

Cookie相比Session有一定的优势:

  1. Session值存储在服务器,相对来说更安全
  2. 客户端发送给服务器的只有一sessionID,数据量更小

Session同样需要在客户端存储一个sessionID。可以这个值存储在Cookie,每次发送请求时通过Cookie请求头将其发送到服务器;也可以不使用Cookie,而将sessionID做为一个额外的请求参数,通过URL或请求体发送到服务器。

基于Cookie实现Session的实现原理如下:

Session的实现原理

由上可见,基于Cookie实现Session时,其本质上还是在客户端保存一个Cookie值。这个值就是sessionID,sessionID的名称也可按需要设置,为保存安全,其值也可能会在服务器端做加密处理。服务器在收到sessionID后,就可以对其解密及查找对应的用户信息等。

Python中的SessionCookie详解
qq_42568323的博客
10-30 2120
本文详细介绍了SessionCookie的概念、工作原理、优缺点及其在Python中的实现方法。通过具体的案例,我们展示了如何在Flask框架中管理用户状态和数据。Cookie:适用于需要存储少量数据并且允许客户端访问的场景。Session:适用于需要存储用户状态的场景,数据安全性较高。理解SessionCookie的使用场景和实现方法,对于开发安全、可靠的Web应用至关重要。如果有进一步的问题或需求,欢迎随时讨论!这里是引用。
sessioncookie
chuquanqian8731的博客
08-26 423
sessioncookie是网站浏览中较为常见的两个概念,也是比较难以辨析的两个概念,但它们在浏览需要认证的服务页面以及页面统计中却相当关键。我们先来了解一下sessioncookie怎么来的?考虑这样一个问题: 如何抓取一个访问受限的网页?如新浪微博好友的主页,个人微博页面等。 显然...
【网络】HTTP中的CookieSession的简单介绍
qq_43669007的博客
05-17 532
用户信息 HTTP是一个无状态协议,就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的好处就是快速,坏处就是需要进行永华状态保持的场景时(比如,登录状态下进行页面跳转,或者用户信息多页面1共享等场景),必须使用一些方法或者手段比如:sessioncookie 再通过一个例子来理解sessioncookie的由来 我们抓取一个访问受限的网页,如新浪微博好友的主页,个人微博页面等; 显然,通过浏览器,我们可以手动输入用户名和密码来访问页面,所谓的“抓取”,其实就是使
HTTP协议cookiesession超详细笔记整理,一篇就够了
08-16
HTTP协议cookiesession超详细笔记整理,一篇就够了
HTTP协议中,浅谈cookiesession区别cookie网页登录原理
weixin_39570412的博客
02-28 664
由于http协议是一种无状态协议,客户端(浏览器)向服务端发送请求,服务器收到请求后,就返回一条响应给客户端,中间没有记录过程也就是说,在这种机制下,服务端不知道具体是哪个客户端请求了它(不会记录用户状态),只要收到了请求,就会返回一条响应给它,而这条响应不会是给特定用户的,这是http协议的一种无状态特性那么,我们如果要浏览微博,知乎,淘宝等一些需要登陆的网站时,就需要每次都输入账号密码,但是事...
http基础】cookiesession区别
acycy的博客
08-27 305
http基础】cookiesession区别 时间:20180827   1.cookie 原理 1.cookie 是一种发送到客户浏览器的文本串句柄,并保存在客户机硬盘上,可以用来在某个WEB站点会话间持久的保持数据。 2.session 原理 session其实指的就是访问者从到达某个特定主页到离开为止的那段时间。 Session其实是利用Cookie进行信息处理的,当用户首...
实验教学资料:深入理解HTTP协议的应用及其各部分组成
12-28
内容概要:该文档详细讲解了HTTP协议的概念以及其实现方式,包括HTTP协议的基本构成(GET/POST请求方法的区别、响应代码解读),并通过实验的形式探讨HTTP无状态特性以及cookiesession的作用和原理。通过具体实验...
HTTP无状态通信中的用户身份验证:CookieSession、JWT的详细解析
最新发布
02-17
使用场景及目标:理解并能够在实践中正确选择使用CookieSession或者JWT来进行网络应用的身份管理和数据传递,提高系统的安全性、效率及用户体验。通过学习如何使用这三者,可以增强程序的健壮性和用户交互的安全...
深入理解CookieSession机制
CookieSession是网络应用中用于保持用户状态的两种重要机制。了解它们的工作原理及其区别对于开发和维护Web应用至关重要。 **Cookie机制** Cookie是由服务器端创建并发送给客户端(通常为Web浏览器)的一种小...
HTTP协议cookiesession
time
05-31 435
HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。HTTP的3个特点HTTP是无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。HTTP是媒体独立的:这意味着,只要客户端和服务器知道如何处理的数据内容,任何类型的数据都可以通过HTTP发送。客户端...
HTTPCookieSession
码星人
06-03 381
1. HTTP的基本性质 1.1 优点 支持客户端/服务器模式。 即客户端打开连接发出请求,然后服务器根据该请求给出响应; 简单快速。 HTTP的报文格式是header+body,头部信息是key-value,文本简单,同时客户向服务器请求服务时,只需传送请求方法和路径; 灵活 HTTP允许传输任意类型的数据对象. 1.2 缺点 HTTP是无状态的。 在同一个连接中,两次执行成功的请求之间没有任何关系。 优点:因为服务器不会去记录HTTP的状态,所以不需要额外的资源来记录状态信
WEB常识 十四 分布式架构下 session 共享方案
W_H_M_2018的博客
09-27 417
分布式架构下 session 共享方案 1. session 复制 任何一个服务器上的 session 发生改变(增删改),该节点会把这个 session 的所有内容序列化,然后广播给所有其它节点,不管其他服务器需不需要 session ,以此来保证 session 同步 优点: 可容错,各个服务器间 session 能够实时响应。 缺点: 会对网络负荷造成一定压力,如果 session 量大的话可能会造成网络堵塞,拖慢服务器性能。 2. 粘性 session /IP 绑定策略 采用 Ngnix
HTTP协议CookieSession
m0_53342945的博客
11-09 1816
第一节 HTTP协议 超文本传输协议HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接受HTTP页面的方法。1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法,并称为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。Ted Nelson组织协调万维网协会(World Wide Web C...
HTTPCookieSession区别
南瓜灯cc
12-05 3397
HTTP协议中,客户端请求服务端是一种无状态的连接-每次请求都是独立的请求。Cookie: 如我们在网上购物的时候, 开始的时候先登录,然后选中商品加入到自己的购物车-其在客户单服务器端的动作如下: 客户端—–(request:包含登录信息)——->服务器端 客户端<—(response:登录成功否)——-服务器端 客户端—–(request:购物车里的信息)—–>服务器端 客户端<—
http协议_CookieSession
coding
01-25 274
Cookie HTTP 协议是无状态的,为了让 HTTP 协议尽可能简单,使得它能够处理大量事务,HTTP/1.1 引入 Cookie 来保存状态信息。 Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带上,用于告知服务端两个请求是否来自同一浏览器。由于之后每次请求都会需要携带 Cookie 数据,因此会带来额外的性能开销(尤其是在...
session 解释
makemyownlife
11-25 280
一、术语session   在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transactionsession在某些语境下的含义是相同的。   session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。有时候我们可以看到这样的话“在一...
HTTP协议-- cookiesession
兔子扛刀
04-02 481
HTTP协议-- cookiesession、cache(一) 大家学习http协议的时候不可避免会接触到cookiesession和cache,当然可能还有token等等,今天我们主要简单说一下cookiesession,cache这三个,它们是什么,怎么工作,有什么样的区别和联系。 Cookie 先说cookie吧,由于HTTP协议无状态的缺陷。WEB的设计者们提出了CookieSession两种解决机制。这里插一嘴,说下什么是无状态。 HTTP协议是无状态...
HTTP-cookiesession,token的区别
Hedyqing的博客
09-08 230
**cookie:**是保存在本地终端的数据,cookie是由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器,由于cookie是存在客户端上,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 **session:**当用户打开某个web应用时,便web服务器产生一次session。服务器使用session把用户的信息临时保存在服务器上,用户离开网
HttpSessionCookie
JackWangDev的博客
10-26 480
  1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session。 典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在服务端的,有一个唯一标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值