Session and Cookie

最新推荐文章于 2025-08-22 15:20:45 发布
转载 最新推荐文章于 2025-08-22 15:20:45 发布 · 267 阅读 · 1

本文解析了Cookie的工作原理及其限制,并对比介绍了Session的概念和技术细节。详细解释了如何利用这两种技术维持用户的会话状态。

一. Cookie

  1. 理解cookie:

当一个用户通过 HTTP 协议访问一个服务器的时候,这个服务器会将一些 Key/Value 键值对返回给客户端浏览器,并给这些数据加上一些限制条件,在条件符合时这个用户下次访问这个服务器的时候,数据又被完整地带回给服务器。

当前 Cookie 有两个版本:Version 0 和 Version 1。通过它们有两种设置响应头的标识,分别是 “Set-Cookie”和“Set-Cookie2”。这两个版本的属性项有些不同。

在这里插入图片描述
在这里插入图片描述
2. Cookie 的限制:

Cookie 是 HTTP 协议头中的一个字段,虽然 HTTP 协议本身对这个字段并没有多少限制,但是 Cookie 最终还是存储在浏览器里,所以不同的浏览器对 Cookie 的存储都有一些限制

二. Session

前面已经介绍了 Cookie 可以让服务端程序跟踪每个客户端的访问,但是每次客户端的访问都必须传回这些 Cookie,如果 Cookie 很多,这无形地增加了客户端与服务端的数据传输量,而 Session 的出现正是为了解决这个问题。

同一个客户端每次和服务端交互时,不需要每次都传回所有的 Cookie 值,而是只要传回一个 ID,这个 ID 是客户端第一次访问服务器的时候生成的,而且每个客户端是唯一的。这样每个客户端就有了一个唯一的 ID,客户端只要传回这个 ID 就行了,这个 ID 通常是 NANE 为 JSESIONID 的一个 Cookie。

它的基本原理是服务端为每一个session维护一份会话信息数据,而客户端和服务端依靠一个全局唯一的标识来访问会话信息数据。用户访问web应用时,服务端程序决定何时创建session,创建session可以概括为三个步骤:

  1. 生成全局唯一标识符(sessionid)。

  2. 开辟数据存储空间。一般会在内存中创建相应的数据结构。但是!这种情况下,系统一旦断电,所有的会话数据就会丢失,如果是电子商务网站,这种事故会造成严重的后果。不过也可以写到文件里甚至存储在数据库中,这样虽然会增加I/O开销,但session可以实现某种程度的持久化,而且更有利于session的共享。

  3. 将sessionid发送给客户端。而发送sessionid又有两种方式:cookie和URL重写

所以,Cookie 和 Session 都是为了保持用户访问的连续状态,之所以要保持这种状态,一方面是为了方便业务实现,另一方面就是简化服务端程序设计,提高访问性能,但是这也带来了另外一些挑战,如安全问题、应用的分布式部署带来的 Session 的同步问题及跨域名 Session 的同步等一系列问题。

**session and cookie
03-20
**SessionCookie是Web开发中的两个重要概念,用于在客户端和服务器之间管理用户状态。它们在Web应用程序中扮演着至关重要的角色,特别是在处理用户登录、购物车、个性化设置等需要保持用户信息连续性的场景中。** ...
精选资源
svelte-kit-cookie-session::hammer_and_pick:SvelteKit的加密“无状态” cookie会话
04-01
:hammer_and_pick: SvelteKit的加密“无状态” cookie会话 通过此后端实用程序,您可以创建会话,并通过加密的印章将其存储在浏览器cookie中。 这提供了强大的客户端/“无状态”会话。 从客户端的角度来看,存储在...
SessionCookie(转载)
diaoxiang6838的博客
06-20 145
一、cookie机制和session机制的区别 ************************************************************************************* 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的...
Session And Cookie
lee_Rogers的博客
09-12 315
最近复习到sessioncookie,好记性不如烂笔头,记下来也是极好的。 先从宏观上说一下sessioncookie的区别。session是存在服务器上,cookie是存在客户端(浏览器端),各自都有有效期。 为什么需要他们? 由于HTTP协议是无状态的,所以无法区分用户,最显著的例子:A用户在购物网站将物品加入购物车,然后退出了。接着B用户也在做同样的事,然后服务器就懵逼了,我到底
Session and cookie
liangxw1的专栏
08-06 616
JAVA开发 SESSIONCOOKIE的关系 http://blog.itpub.net/26770925/viewspace-1393608/ Java详解SessionCookie http://blog.sina.com.cn/s/blog_4f925fc30100mo95.html Cookie/Session机制详解 http://www.open-open.com/l
sessioncookie
tian_to_tian的博客
08-31 221
一、cookie HTTP协议是一种无状态协议,sessioncookie都是用于记录会话状态的两种技术。 cookiecookie将用户信息存储在客户端 cookie登录demo流程: 1、用户发起登录请求 2、服务器端进行响应 3、客户端接收到数据,并将相应的数据存储到cookie文件 4、之后每一次请求都将带上cookie文件 cookie的使用: document.cookie返...
cookie and session
qq_32498963的博客
08-14 212
cookie cookie是服务器通过Http的响应头中的一部分代码指示浏览器生成的文件,该文件保存在浏览器的文件夹下,记录少量信息。所以简单来说cookie 就是一份记录,每次访问服务器时告知服务器本浏览器是否已经进行过访问,若进行过访问就将页面调整为上次访问时的状态。例如在网站登录一次帐号 就可以在该网站随意浏览而不用再次登录。 session ses...
day57-58 cookie and session and 作业布置
gaosong0623的博客
01-02 192
cookie是什么?cookie是保存在客户端游览器的一些键值对。可以利用他来做登录,一般是登录后,服务端给客户端设置的cookiecookie 一个神奇的地方,谁来登录我,登录成功了,我就把你的登录状态存在你的cookie里,cookie保存在用户的游览器上,你下次再来的时候携带着你的cookie信息服务器端就会认识你。 为什么要用cookie呢?因为HTTP是短链接,是无状态的,...
Flask 之 Cookie & Session 详解:用户状态管理
最新发布
这里是 「Py玩家的栈与星辰」,专注分享Python开发、DevOps实践、云原生技术与系统安全领域的深度干货。
08-22 1033
本文深入解析Flask中的CookieSession机制。Cookie用于客户端存储小数据(如用户偏好),通过HTTP头部传输;Session则在服务器端存储会话数据,通过SessionID关联客户端。详细介绍了Flask中Cookie的设置、读取、删除操作,以及Session的配置、登录验证、数据管理等核心用法。特别强调了安全实践,包括防止Session固定攻击、Session劫持防护等。文章还提供了购物车、用户设置等实际应用示例,并推荐在生产环境中使用Redis存储Session
cookieAndsession.zip
07-19
在IT行业中,尤其是在Web开发领域,CookieSession是两种非常重要的技术,用于管理用户状态和保持用户会话。本文将详细探讨CookieSession的工作原理、优缺点以及它们在Node.js环境中的应用。 **Cookie** Cookie...
cookie and session(妈妈再也不用担心你不会了)
qq_45256805的博客
09-08 261
cookie and sessioncookie1.cookie是什么?2.为什么要使用cookie?3.怎么使用cookie?(1)添加一个cookie(2)删除一个cookiesession1.seesion是什么?2.为什么要使用session?3.怎么使用session?4.session对象与cookie的区别? cookie 1.cookie是什么? 首先cookie翻译过来是小饼干的意思,这说明了cookie的一个特点就是大小有限制,大约在4kb左右。 cookie是储存在用户本地终端上的
深入理解SessionCookie(全网最全)
2301_79108772的博客
07-15 2840
当用户进行登录的适合,服务端会将登录态信息(文本信息,一般是个json数据)返回给客户端,客户端进行存储这些登录态信息,当下次进行请求服务端接口的时候,会进行携带这些登录态信息。Cookie会被存储到请求标头中,是一个键值对信息文本,多个键值对使用;进行区分。Session时服务端的一种存储机制,用来进行跟踪用户的状态,Session在用户与服务器简历连接后创建,并在用户退出或者Session超时后销毁,并且Session默认是依赖于Cookie的(Session可以不依赖于Cookie)。
_001_CookieAndSession_服务器端生成Cookie
poiuyppp的博客
08-06 313
        Cookie a = new Cookie("company","hello");         Cookie b = new Cookie("teacher","hello1");         //同类请求:资源路径相同的请求         //指定Cookie的请求路径。注意,这里指定的路径要求必须是要添加上项目名称。         a.setPath(request...
_002_SessionAndCookie_Session的基本用法
poiuyppp的博客
08-06 193
   
_003_SessionAndCookie_Session的工作原理
poiuyppp的博客
08-06 186
-----------------------------------  ----------------------------------- ------------------------------------
CookieSession
m0_74015467的博客
08-20 1038
Cookie是存储在客户端的小型数据片段,由服务器通过HTTP响应头发送给客户端,客户端随后在每次请求中自动携带这些数据回服务器。Cookie主要用于会话管理、个性化设置和用户行为跟踪。Cookie的主要特点存储在客户端,可随意篡改,不安全有大小限制(通常为4KB有数量限制(一般一个浏览器对于一个网站只能存不超过20个Cookie)不可跨域,但一级域名和二级域名允许共享使用(靠的是domain属性)10Session是存储在服务器端的用户会话信息,用于跟踪用户状态。
sessioncookie详解
cjzcc1996的博客
07-08 2983
工作原理图: 工作原理图:相同点:两者都是一种记录用户状态的机制,都是为了减少客户端和服务器端之间的传输的冗余数据,提高两者之间的数据传输速率。不同点:web开发发展至今,cookiesession的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:...
CookieSession
热门推荐
qq_54219272的博客
04-10 1万+
CookieSession 文章目录CookieSession一、session二、Cookiesession的区别三、servlet中对CookieSession提供的封装 前言: 这篇帖子重点讲讲CookieSession之间的区别,以及作用,Cookie在http协议中就提到了他的定义,作用,小伙伴们可以跳转到 Http协议 这个页面看看Cookie的基本概念及作用。 前情回顾: 1、Cookie是浏览器提供的一种让程序员在本地存储数据的能力,让数据在客户端这边更持久化。 2、C
sessioncookie的区别, 他们都是什么?
yx_ming的博客
08-13 6231
什么是Session? 1.由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session. 2.Session用于标识这个用户,并且跟踪用户,Session是保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。 3.大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个...
Cookie. Session. Token
08-15
在Web开发中,用户认证和状态管理是保障系统安全性和用户体验的重要组成部分。常见的状态管理机制包括CookieSession和Token,它们在实现方式、安全性、可扩展性等方面各有特点。 ### Cookie Cookie是存储在客户端的一小段数据,通常由服务器通过HTTP响应头`Set-Cookie`发送给客户端,客户端随后在每次请求中通过`Cookie`头将信息回传给服务器。Cookie常用于保存会话标识符,以便服务器能够识别用户身份并维持登录状态。由于Cookie直接暴露在客户端,因此容易受到跨站请求伪造(CSRF)攻击,为此可以采取一些措施,比如设置`HttpOnly`属性防止XSS攻击,或者使用`Secure`属性确保Cookie仅通过HTTPS传输[^1]。 ### Session Session是一种服务器端的状态管理机制,它依赖于Cookie来存储会话ID(session ID)。当用户首次访问服务器时,服务器会创建一个新的会话,并生成唯一的会话ID,然后通过Cookie将这个ID发送给客户端。客户端在后续请求中携带此ID,服务器根据ID查找对应的会话数据,从而实现状态保持。Session的优点在于数据安全性较高,因为敏感信息不会暴露给客户端,但这也意味着服务器需要额外的存储资源来维护会话数据,这可能成为性能瓶颈,尤其是在分布式环境中[^1]。 ### Token Token是一种无状态的身份验证机制,最常见的是JSON Web Token(JWT)。在Token机制下,用户登录成功后,服务器会生成一个加密的Token并返回给客户端,客户端在之后的每次请求中都需要携带这个Token(通常放在HTTP头部的`Authorization`字段中)。服务器接收到请求后,会验证Token的有效性,并从中提取用户信息。Token的优势在于其无状态特性,使得它非常适合分布式系统和跨域场景,同时减少了服务器对存储会话数据的需求。然而,Token一旦签发,在有效期内无法直接撤销,除非引入额外的黑名单机制[^1]。 ### 使用场景 - **Cookie**:适用于简单的状态管理需求,尤其是当应用不需要高度可扩展性时。由于其易于实现,常用于小型网站或内部系统。 - **Session**:适合需要较高安全性的应用场景,尤其是在单体架构或有限的集群环境中,可以更好地控制会话生命周期。 - **Token**:广泛应用于现代Web应用,特别是微服务架构和API网关场景,因为Token可以轻松跨域传递,且不依赖于服务器端的状态存储。 综上所述,选择哪种机制取决于具体的应用场景和技术栈,以及对安全性、可扩展性和开发复杂度的权衡。 ```python # 示例:使用Flask框架实现基于Session的用户认证 from flask import Flask, session, redirect, url_for, request app = Flask(__name__) app.secret_key = 'your_secret_key' @app.route('/login', methods=['POST']) def login(): username = request.form['username'] # 假设这里进行了用户验证 if valid_user(username): session['username'] = username return redirect(url_for('index')) else: return 'Login Failed' def valid_user(username): # 模拟用户验证逻辑 return username == 'admin' @app.route('/') def index(): if 'username' in session: return f'Logged in as {session["username"]}' return 'You are not logged in' @app.route('/logout') def logout(): session.pop('username', None) return redirect(url_for('index')) if __name__ == '__main__': app.run(debug=True) ``` ```python # 示例:使用JWT实现基于Token的用户认证 import jwt from datetime import datetime, timedelta from flask import Flask, request, jsonify app = Flask(__name__) app.config['SECRET_KEY'] = 'your_secret_key' def generate_token(username): payload = { 'username': username, 'exp': datetime.utcnow() + timedelta(hours=1) } return jwt.encode(payload, app.config['SECRET_KEY'], algorithm='HS256') @app.route('/login', methods=['POST']) def login(): username = request.json.get('username') password = request.json.get('password') # 假设这里进行了用户验证 if username == 'admin' and password == 'password': token = generate_token(username) return jsonify(token=token), 200 return jsonify(message='Invalid credentials'), 401 @app.route('/protected') def protected(): token = request.headers.get('Authorization') try: data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=['HS256']) return jsonify(logged_in_as=data['username']), 200 except: return jsonify(message='Invalid token'), 401 if __name__ == '__main__': app.run(debug=True) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值