Cookie与session

cookie与session出现的契机

HTTP是一种无状态连接，而现实需求中需要网站去记录用户的状态，去分辨用户。而session和cookie就是为了解决这个问题而产生出两种机制。

cookie的机制

cookie是将服务器的一小段文本存储在客户端，并随着客户端的每一次请求发送到服务器，是客户端保持机制。
cookie分为保持cookie和会话cookie，若设置cookie的过期时间，则该cookie将被保存到磁盘中，在过期前一直使用；若cookie过期时间为默认的-1，则cookie保存在内存中，当浏览器窗口关闭时，cookie将被清除。
cookie存于客户端有大小限制，过大时会被清除

session的机制

• 将数据存储在服务器端的机制，本身是一种HashTable结构；
• 客户端第一次发出请求时，服务器会自动生成hashTable用来存储数据，以及sessionID用来作为唯一标示，通过响应返回给客户端。其中sessionID是作为Cookie保存在客户端；
• 当客户端第二次请求时，服务器从请求中提取sessionID，与服务器的sessionID进行对比，找出对应的hashTable；
• session默认存活时间为30分钟。

区别

• 数据存储： session能够储存任意的java对象；cookie只能存储String对象；
• 安全性： cookie存于客户端，存在被修改的风险，不安全；session存于服务器，不可修改，安全；
• 消耗资源： session需要消耗服务器资源，过多时会造成服务器内存溢出；cookie存于客户端，服务器资源消耗小；
• 域的支持： cookie可以跨域名使用，只要设置时后缀一致即可；而session不能够跨域，需要使用JSONP或跨域资源共享解决。

cookie与session的关联

上文提到服务器的session是通过sessionID进行区别，而sessionID是通过cookie存于客户端本地，并随着每次请求都发送给服务器。
所以session的使用与cookie存在着关联，当用户在浏览器设置了“禁用cookie”时，会对session的使用造成一定的影响。

使用场景

session与cookie都可以用于用户的登录状态保持上，但是当网站的并发量大时，可能会造成session过多，服务器内存溢出。
解决方案：配置一台专门用于存储session的资源服务器，或使用cookie进行用户的登录状态保持。

cookie与session配合使用，使用登录状态保持的思路：
将用户的密码与账户，以及sessionID进行加密，再存于cookie中发送回客户端保存；服务器session同样保存用户信息，但是当session过期，或session过多时清除多余的session，保证服务器内存不会溢出；当用户第二次登录时，取出cookie中的sessionID进行对比，若该session存在则继续使用，若不存在，则使用cookie中的密码与账户进行登录，并更新cookie的sessionID。而这个操作在用户所没有看到的背后进行，以此达到“记住密码”的效果。