Session和Cookie的区别与联系

最新推荐文章于 2025-07-17 15:31:44 发布
原创 最新推荐文章于 2025-07-17 15:31:44 发布 · 523 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Java

Session的概念


Session 是存放在服务器端的,类似于Session结构来存放用户数据,当浏览器 第一次发送请求时,服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session,并将其通过响应发送到浏览器。


当浏览器第二次发送请求,会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上,服务器从请求中提取出Session ID,并和保存的所有Session ID进行对比,找到这个用户对应的Session。


一般浏览器提供了两种方式来保存,还有一种是程序员使用html隐藏域的方式自定义实现:

1)使用Cookie来保存,这是最常见的方法,本文“记住我的登录状态”功能的实现正式基于这种方式的。服务器通过设置Cookie的方式将Session ID发送到浏览器。如果我们不设置这个过期时间,那么这个Cookie将不存放在硬盘上,当浏览器关闭的时候,Cookie就消失了,这个Session ID就丢失了。如果我们设置这个时间为若干天之后,那么这个Cookie会保存在客户端硬盘中,即使浏览器关闭,这个值仍然存在,下次访问相应网站时,同 样会发送到服务器上。


2)使用URL附加信息的方式,也就是像我们经常看到JSP网站会有aaa.jsp?JSESSIONID=*一样的。这种方式和第一种方式里面不设置Cookie过期时间是一样的。


3)第三种方式是在页面表单里面增加隐藏域,这种方式实际上和第二种方式一样,只不过前者通过GET方式发送数据,后者使用POST方式发送数据。但是明显后者比较麻烦。


会话(Session)跟踪


会话,指用户登录网站后的一系列动作,比如浏览商品添加到购物车并购买。会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSession。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。


Session和Cookie的区别与联系?

下方区域查看答案解析!

-▼-


Cookie和Session区别


cookie存储在客户端(浏览器),session存储在服务端,简 单的说,当你登录一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上面,客户端每次请求服务器的时候会发送 当前会话的sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登录,或具有某种权限。


由于数据是存储在服务器 上面,所以你不能伪造,但是如果你能够获取某个登录用户的sessionid,用特殊的浏览器伪造该用户的请求也是能够成功的。sessionid是服务 器和客户端链接时候随机分配的,一般来说是不会有重复,但如果有大量的并发请求,也不是没有重复的可能性。


Session与Cookie联系


Cookies是属于Session对象的一种。但有不同,Cookies不会占服务器资源,是存在客服端内存或者一个cookie的文本文件中;而“Session”则会占用服务器资源。所以,尽量不要使用Session,而使用Cookies。




但是我们一般认为cookie是不可靠的,session是可靠地,但是目前很多著名的站点也都以来cookie。有时候为了解决禁用cookie后的页面处理,通常采用url重写技术,调用session中大量有用的方法从session中获取数据后置入页面。


Cookies与Session的应用场景


Cookies的安全性能一直是倍受争议的。虽然Cookies是保存在本机上的,但是其信息的完全可见性且易于本地编辑性,往往可以引起很多的安全问题。所以Cookies到底该不该用,到底该怎样用,就有了一个需要给定的底线。




1)session


登陆验证信息。一般采用Session(“Logon”)=true or false的形式。 用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里 需要在页面间传递 的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更 新到数据库。


2)cookie


判断用户是否登陆过网站,以便下次登录时能够直接登录。如果我们删除cookie,则每次登 录必须从新填写登录的相关信息。 另一个重要的应用是“购物车”中类的处理和设计。用户可能在一段时间内在同一家网站的不同 页面选择不同的商品,可以将这些信息都写入cookie,在最后付款时从cookie中提取这些信 息,当然这里面有了安全和性能问题需要我们考虑了。


session共享


对于多网站(同一父域不同子域)单服务器,我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(blog.yoodb.com 和daohang.yoodb.com),而SessionId又分别储存在各自的cookie中,因此服务器会认为对于两个子站的访问,是来自不同的会话。


解决的方法是通过修改cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是,子站间的cookie信息也同时被共享了。


cookie典型应用


1)判断用户是否登陆过网站,以便下次登录时能够直接登录。如果我们删除cookie,则每次登录必须从新填写登录的相关信息。


2)在线商城“购物车”中处理和设计。用户可能在一段时间内在同一家网站的不同页面选择不同的商品,可以将这些信息都写入cookie,在最后付款时从cookie中提取这些信息,当然这里面需要考虑安全和性能问题。

 

总结


1)cookie数据存放在客户的浏览器上,session数据放在服务器上。


2)cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。


3)session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。


4)单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie


5)可以考虑将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中。


====================打个广告,欢迎关注====================

QQ:412425870
csdn博客:
http://blog.youkuaiyun.com/caychen
码云:
https://gitee.com/caychen/
github:
https://github.com/caychen

点击群号或者扫描二维码即可加入QQ群:

328243383(1群)



点击群号或者扫描二维码即可加入QQ群:

180479701(2群)



sessioncookie之间的联系
weixin_44543271的博客
03-31 1428
下面是我给在网络编程中所用到的两个很重要的机制 Session Cookie的一个简介: 为什么要对这两个机制进行特别的讲解呢?很重要的一点就是在网络请求中 HTTP 是无状态的协议,谁也不认识谁,所以当你想要实现对用户的追踪,就必须要用到这两个机制。这两者都有一个共同点 会话 例如:当你在网上购物付款时。由于HTTP是无状态的。你并不知道是那个用户进行付款操作。或者当你登录QQ的时候,你就会...
SessionCookie区别
07-27 674
viewstate,session,cookie区别: viewstate  viewstate的值保存在浏览器的html代码中 , 当浏览器关闭 , 则值消失 , 即viewstate是在本页面之内各函数间进行传值的 , 至于为什么要使用这种方法 , 因为在一个事件发生之后 , 页面可能会刷新 , 如果定义全局变量会被清零 , 所以要使用 viewstate. session
cookiesession区别
12-18
这是一份关于cookiesession的知识文档,有关于cookie是什么,图解,cookie对比session有哪些不好,session是什么图解
Cookie Session 到底有什么区别
dcp666的博客
07-17 968
曾经问过很多同学这个问题:Cookie Session 有什么区别呢?大部分的面试者应该都可以说上一两句,比如:什么是 Cookie?什么是 Session?两者的区别等。但如果再往深入探讨的话,就慢慢有一些同学不太了解了,谈起原理时就很少有同学全部回答准确。今天大家一起深入聊聊有关 Cookie Session 的话题。
sessionCookie区别
过道
05-23 1万+
(1).session保存在服务器端(客户端仅保存一个sessionID),Cookie保存在客户端。 (2)session保存的是对象,Cookie保存的是字符串。cookie的存储限制数据量不大于4KB,而session的容量则是无限量的。 (3)session不能区分路径,同一个用户在访问同一个Web应用程序期间,所有的session在任何路径都可访问。Cookie中如果设置了路径参数,...
Session Cookie区别
武培轩
04-04 214
会话跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本文将讲解CookieSession以及它们的区别Cookie HTTP 协议是无状态的,主要是为了让 HTTP 协议尽可能简单,使得它能够处理大量事务。HTTP/1.1 引入 Co...
sessioncookie区别
猫寻
03-18 493
(1)Cookie以文本文件格式存储在浏览器中,而session存储在服务端它存储了限制数据量。它只允许4kb它没有在cookie中保存多个变量。 (2)cookie的存储限制了数据量,只允许4KB,而session是无限量的 (3)我们可以轻松访问cookie值但是我们无法轻松访问会话值,因此它更安全 (4)设置cookie时间可以使cookie过期。但是使用session-destory(),...
带你了解sessioncookie作用原理区别用法
08-29
本资源主要介绍了sessioncookie的作用原理、区别用法,帮助读者更好地理解两者之间的关系。 Cookie概念 Cookie是浏览器端存储的一种小文本文件,用于记录用户的信息,以便在后续的访问中使用。Cookie可以根据...
sessioncookie区别联系?
07-05
### SessionCookie区别联系 #### 一、概念解析 - **Cookie**:Cookie是一种小型的数据文件,由服务器端生成并发送给用户浏览器,浏览器在本地(如用户的硬盘)保存该文件,然后每一次请求同一网站时都会把该...
老生常谈SessionCookie之间区别联系(必看篇)
10-18
标题描述中提到的SessionCookie是Web开发中非常重要的两个概念,它们主要用于跟踪用户在Web应用程序中的状态。要深入理解这两者之间的区别联系,首先需要理解以下几个概念。 HTTP协议是一种无状态的协议,...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
sessioncookie之间的关系
热门推荐
王春兰的博客
07-05 4万+
一、客户端服务端请求响应的关系 USER(客户端) 请求 tomcat(服务器), 属于HTTP请求。http请求是无状态的,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;所以当用户从客户端请求一次登录后,登录成功,再次进行请求时,因为tomcat不能识别这两次会话都是来自同一个浏览器,即服务端不知道客户端的历史请求记录;就会再次弹出登录对话...
sessioncookie区别?
Cynric 的博客
08-27 3093
由于http是无状态的协议,所以我们需要使用cookiesession来维护服务器客户端交互过程中的上下文信息。 cookie是存储在客户端的数据。服务器通过在http响应头,或者通过网页中的脚本在客户端中生成cookie。当客户端访问某个页面时,会把符合条件的cookie
sessioncookie关系
weixin_34289744的博客
01-03 266
之前总是对sessioncookie这两个概念很模糊,今天就研究下他们的原理关系 在说sessioncookie之前,我们先来说说sessioncookie出现的原因 众所周知,http是无状态的,也就是说在客户端服务器连接期间,客户端向服务器发送的请求是不带用户信息的,所以我们是无法辨别出这个请求是哪个用户发出的。 为了解决这个问题,就得借助其他技术,cookiesession就由此...
Cookie Session 关系区别
风语的博客
02-16 535
在技术面试中,经常被问到“CookieSession区别”,大家都知道一些,SessionCookie安全,Session是存储在服务器端的,Cookie是存储在客户端的,然而如果让你更详细地说明,恐怕就不怎么清楚了。 本文分别对CookieSession做一个介绍总结,并分别对两个知识点进行对比分析,让大家对CookieSession有更深入的了解。 什么是HTTP 首先要先介绍什么是HTTP HTTP:超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTT
CookieSession区别联系
shangshanzixu的博客
08-06 506
1.什么是cookie 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。 Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务
CookieSession区别联系
weixin_47268011的博客
03-06 978
CookieSession区别联系
SessionCookie有什么区别联系?
最新发布
08-05
<think>我们正在讨论SessionCookie区别联系。根据用户提供的引用,我们可以总结如下: ### 区别: 1. **存储位置**: - Cookie存储在客户端(浏览器)[^2][^4]。 - Session存储在服务器端[^1][^2]。 2. **安全性**: - Cookie由于存储在客户端,容易被篡改或窃取(如XSS攻击)[^4]。 - Session存储在服务器端,相对更安全[^1]。 3. **数据类型**: - Cookie只能存储字符串类型的数据(存储其他类型需要转换成字符串)[^1]。 - Session可以存储任意数据类型(如对象)[^1]。 4. **有效期**: - Cookie可以设置长时间保持(例如通过`Expires`属性设置过期时间)[^1][^5]。 - Session一般有效期较短(例如客户端关闭或超时就会失效)[^1][^2]。 5. **存储大小**: - 单个Cookie大小通常不超过4KB(引用[1]提到3K,引用[4]提到4KB)[^1][^4]。 - Session可存储数据远大于Cookie,但过多使用会占用服务器资源[^1]。 ### 联系: 1. **Session依赖Cookie(通常)**: - 服务器创建Session时会生成一个唯一的Session ID,并通过Cookie(名为`JSESSIONID`或类似)发送给客户端[^1][^3]。 - 客户端后续请求会自动携带此Cookie,服务器通过Session ID找到对应的Session数据[^1][^3]。 2. **共同目标**: - 两者都用于跟踪用户状态,解决HTTP协议无状态的问题[^1][^2][^4]。 ### 示例说明: - **Cookie示例**:服务器设置一个名为`userid`的Cookie,客户端在后续请求中自动携带: ```csharp HttpCookie cookie = new HttpCookie("MyCook"); cookie.Expires = DateTime.Now.AddMinutes(1); // 1分钟后过期 cookie.Values.Add("userid", "value"); Response.AppendCookie(cookie); ``` 引用自[^5]。 - **Session依赖Cookie的证明**: 即使没有显式设置Cookie,使用`request.getCookies()`也会得到一个名为`JSESSIONID`的Cookie(由服务器自动创建)[^3]。 ### 总结: | 特性 | Cookie | Session | |--------------|-----------------------------|------------------------------| | 存储位置 | 客户端(浏览器) | 服务器端 | | 安全性 | 较低(易被篡改) | 较高(服务器存储) | | 数据类型 | 仅字符串 | 任意数据类型 | | 有效期 | 可长期保存(手动设置) | 短期(浏览器关闭或超时失效) | | 存储大小限制 | ≤4KB | 无硬性限制(但占用服务器资源)| | 主要联系 | Session ID 通常通过Cookie传递 | 依赖Cookie实现用户跟踪 | > ⚠️ 注意:虽然Session通常依赖Cookie传递Session ID,但也可通过URL重写(如`;jsessionid=...`)实现,但较少见。 §§相关问题§§ 1. 如何防止Session劫持? 2. Cookie有哪些安全属性(如HttpOnly, Secure)? 3. 如何在无Cookie环境下使用Session(如URL重写)? 4. Session存储的服务器端实现方式有哪些(内存、数据库等)?</think>### SessionCookie区别联系 #### 一、核心区别 1. **存储位置** - **Cookie**:存储在**客户端浏览器**中(如用户电脑)[^2][^4] - **Session**:存储在**服务器端**(如服务器内存或数据库)[^1][^2] 2. **数据类型大小** - **Cookie**: - 仅支持字符串类型数据 - 单个Cookie ≤ 4KB(实际通常≤3KB)[^1] - 示例:存储用户语言偏好 `lang=zh-CN` - **Session**: - 支持任意数据类型(对象、数组等) - 存储空间更大(受服务器资源限制)[^1] 3. **生命周期** - **Cookie**: - 可通过`Expires`属性设置长期保存(如登录保持)[^5] ```csharp // C# 设置1分钟过期的Cookie HttpCookie cookie = new HttpCookie("MyCook"); cookie.Expires = DateTime.Now.AddMinutes(1); ``` - **Session**: - 默认随浏览器关闭失效 - 服务器可设置超时时间(如30分钟无操作失效)[^1][^2] 4. **安全性** - **Cookie**: - 易被XSS攻击窃取(可通过JavaScript读取)[^4] - 需配合`HttpOnly``Secure`属性提升安全性 - **Session**: - 更安全(敏感数据不暴露在客户端) - 主要风险是Session ID被劫持[^1][^3] #### 二、核心联系 1. **协作机制** - Session依赖Cookie传递**Session ID**(通常名为`JSESSIONID`)[^1][^3] - 工作流程: ```mermaid graph LR A[用户登录] --> B[服务器创建Session] B --> C[生成Session ID] C --> D[通过Set-Cookie发送ID给浏览器] D --> E[浏览器后续请求携带Cookie] E --> F[服务器用ID查找Session数据] ``` 2. **状态管理互补** - Cookie存储轻量标识(如Session ID) - Session存储敏感/复杂数据(如登录凭证、购物车)[^1][^4] - 两者共同解决HTTP无状态问题 3. **ID传递方式** - 主要方式:Cookie自动携带Session ID(如`JSESSIONID=abc123`) - 备用方式:URL重写(当禁用Cookie时)[^3] #### 三、典型应用场景 | **场景** | **Cookie使用** | **Session使用** | |------------------|------------------------------|------------------------------| | 用户登录状态 | 存储加密的Session ID | 存储用户ID、权限角色 | | 购物车 | - | 存储商品列表、价格等对象 | | 个性化设置 | 存储语言/主题偏好(字符串) | - | | 防CSRF攻击 | 存储CSRF Token | 验证Token合法性 | > 💡 **关键结论**: > Cookie是客户端的"钥匙",Session是服务器端的"保险箱",Session ID是连接两者的桥梁[^1][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值