cookie & session

转载已于 2023-09-07 00:04:11 修改 · 243 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://www.cnblogs.com/tugenhua0707/p/9098132.html

文章标签：

#浏览器

于 2023-09-06 23:12:38 首次发布

本文围绕Cookie和Session展开。Cookie是存储在客户端的信息，由浏览器和服务器协作实现会话，服务器通过唯一标识符识别用户。但Cookie安全性低、存储数据有限，为此引入Session，其数据保留在服务端，通过sessionId与客户端映射，安全性更好。

一、cookie

cookie简介：

在为了在无状态的HTTP协议之上实现会话，Cookie 诞生了。

Cookie 是一些存储在客户端的信息，每次连接的时候由浏览器向服务器递交，服务器也向浏览器发起存储 Cookie 的请求，依靠这样的手段服务器可以识别客户端。我们通常意义上的 HTTP 会话功能就是这样实现的。具体来说，浏览器首次向服务器发起请求时，服务器生成一个唯一标识符并发送给客户端浏览器，浏览器将这个唯一标识符存储在 Cookie 中，以后每次再发起请求，客户端浏览器都会向服务器传送这个唯一标识符，服务器通过这个唯一标识符来识别用户。对于开发者来说，我们无须关心浏览器端的存储，需要关注的仅仅是如何通过这个唯一标识符来识别用户。

对于开发者来说，我们无须关心浏览器端的存储，需要关注的仅仅是如何通过这个唯一标识符来识别用户。很多服务端脚本语言都有会话功能，如 PHP，把每个唯一标识符存储到文件中。

cookie & session: https://www.cnblogs.com/tugenhua0707/p/9098132.html

cookie它是一个由浏览器和服务器共同协作实现的协议的。那么cookie分为如下几步实现：

1. 服务器端向客户端发送cookie。

2. 浏览器将cookie保存。

3. 之后每次请求都会将cookie发向服务器端。

1.1 服务器端发送cookie

服务器发送cookie给客户端是通过HTTP响应报文实现的。在set-Cookie中设置给客户端发送的cookie，cookie格式如下：

Set-Cookie: name=value; Max-Age=60; Path=/; domain=.domain.com;Expires=Sun, 27 May 2018 05:44:24 GMT; HttpOnly, secure;

如下图所示

其中name=value是必选项，其他都是可选的，cookie主要构成如下：

name: 一个唯一确定cookie的名称。

value： 存储在cookie中字符串的值。

domain: cookie对于那个域下是有效的，

path: 表示这个cookie影响到的路径，浏览器会根据这个配置，向指定的域中匹配的路径发送cookie。

expires: 失效时间，表示cookie何时失效的时间，如果不设置这个时间，浏览器就会在页面关闭时将删除所有的cookie，不过我们也可以自己设置过期时间。

注意：如果客户端和服务器端设置的时间不一致，使用expires就会存在偏差。

max-age: 用来告诉浏览器此cookie多久过期(单位是秒)，一般的情况下，max-age的优先级高于expires。

HttpOnly: cookie 只有Http协议可以读取（任何人都不可以携带和读取了）告诉浏览器不允许通过脚本document.cookie去更改值，这个值document.cookie中也是不可见的，但是在http请求会携带这个cookie，

注意：这个值虽然在脚本中使不可取的，但是在浏览器安装目录中是以文件形式存在的，这个设置一般在服务器端设置的。

secure：安全标志，指定后，当secure为true时候，在HTTP中是无效的，在HTTPS中才有效，表示创建的cookie只能在HTTPS连接中被浏览器传递到服务器端进行会话验证，如果是HTTP连接则不会传递该信息，所以一般不会被且听到。

二、session

cookie & session: https://www.cnblogs.com/tugenhua0707/p/9098132.html

cookie操作很方便，但是使用cookie安全性不高，cookie中的所有数据在客户端就可以被修改，数据很容易被伪造；所以一些重要的数据就不能放在cookie当中了，并且cookie还有一个缺点就是不能存放太多的数据，为了解决这些问题，session就产生了，session中的数据保留在服务端的。

基于Cookie来实现用户和数据的映射

把数据放到cookie中是不可取的，但是我们可以将口令放在cookie中的，比如cookie中常见的会放入一个sessionId,该sessionId会与服务器端之间会产生映射关系，如果sessionId被篡改的话，那么它就不会与服务器端数据之间产生映射，因此安全性就更好，并且session的有效期一般比较短，一般都是设置是20分钟，如果在20分钟内客户端与服务端没有产生交互，服务端就会将数据删除。

session的原理是通过一个sessionid来进行的，sessionid是放在客户端的cookie中，当请求到来时候，服务端会检查cookie中保存的sessionid是否有，并且与服务端的session data映射起来，进行数据的保存和修改。也就是说当我们浏览一个网页时候，服务端会随机生成一个1024比特长的字符串，然后存在cookie中的sessionid字段中，当我们下次访问时，cookie会带有sessionid这个字段。

session ——> 服务端随机生成一个1024bit长的字符串，然后存到cookie中的sessionid字段中，发送cookie到客户端