HTTP协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录。Cookie和Session都是用来跟踪浏览器用户身份的会话方式,目的就是为了弥补HTTP的无状态特性。
Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带。
Cookie中保存已经登录过的用户信息,下次访问网站的时候,页面可以自动填写登录的一些基本信息。通常,它用于告知服务端两个请求是否来自于同一浏览器,如保持用户的登录状态。此外,Cookie还能保存用户首选项,主题和其他设置信息。
Session的作用是通过服务端记录用户的状态。一般我们会使用Cookie来管理Session,服务器第一次接收到请求时,生成一个Session ID ,通过响应头的Set-Cookie命令设置Session ID字段,并向客户端发送要求设置Cookie的响应。客户端收到响应后,在本机保存一个包含Session ID字段的Cookie信息,接下来客户端每次向同一服务器发送请求时,请求头都会带上包含该Session ID的Cookie,然后服务器通过读取请求头中的Cookie,获取到此次请求的Session ID。
需要注意的是,如果客户端禁用了Cookie,通过Cookie保存Session ID的方式就无法使用了,这时我们也可以把Session ID放在请求的URL里面,考虑到安全性,我们还可以对Session ID进行加密。
整体上看,Cookie和Session存在5点区别:
1.存放位置不同,Cookie 数据保存在客户端浏览器上,而Session 数据保存在服务器上。
2. 安全性不同,Cookie存放在本地浏览器上,可以对其进行伪造从而进行Cookie欺骗,所以相对来说,Session安全性更高。
3. 存储数据大小不同,单个Cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个Cookie,而Session则存储于服务端,浏览器对其没有限制。
4. 数据类型不同, Cookie 只支持存储字符串数据,而 Session 可以存储任意数据类型。
5. 有效期不同,Cookie 可设置为长时间保持,比如我们经常使用的自动登录功能,Session 一般生效时间较短,客户端关闭或者 Session 超时都会失效。
