老生常谈session,cookie的区别，安全性

一，为何session,cookie常常会有人提到

作web开发的人基本上都会用session和cookie，可是仅仅只是会用，并不知道session和cookie的真正的工做原理，都只是凭着感受来猜想。web开发者只要利用它们来完成工做就好了，因此每一个人的理解基本都会有大同小异，我想这就是session，cookie常常会被讨论的缘由。本文也是根据我的经验，以及我的所学，对session,cookie的一些见解，纯属我的看法，但愿获得你们的更正和建议。

二，什么cookie

cookie分为二种

1，以文件方式存在硬盘空间上的长期性的cookie

2，停留在浏览器所占内存中的临时性的cookie

浏览网站时，你会常常发现网站登陆的地方，会有提示，问你是否是要记住本身的登陆状态，像这种状况，登陆时填写的一些信息会被以文件的方式存放在客户端的硬盘上。

当用户登陆后，session会在cookie端产生一个session_id，这个session_id是存于浏览器所占用的内存当中。当你关闭浏览器后，session_id也要消失了。

cookie采用的是在客户端保持状态的方案，它是客户端的会话状态的一种储存机制。它是服务器在本地机器上存储的小段文本或者是内存中的一段数据，并随每个请求发送至同一个服务器。IETF RFC 2965 HTTP State Management Mechanism 是通用cookie规范。网络服务器用HTTP头信息向客户端发送cookies，在客户终端，浏览器解析这些cookies并将它们保存为一个本地文件，或者本地内存中数据，它会自动将同一服务器的任何请求缚上这些cookies，因为采用服务器端保持状态的方案在客户端也须要保存一个标识，因此session机制借助于cookie机制来达到保存标识的目的，这样就能够解决HTTP协议无状态的缺陷。

三，什么是session

session是一种服务器端的信息管理机制，它把这些文件信息以文件的形势存放在服务器的硬盘空间上，这种状况是默认的，能够用memcache把这种数据放到内存里面。请参考web集群时利用memcache来同步session

当客户端向服务器发出请求时，要求服务器端产生一个session时，服务器端会先检查一下，客户端的cookie里面有没有session_id，是否已通过期。若是有这样的session_id的话，服务器端会根据cookie里的session_id把服务器的session检索出来。若是没有这样的session_id的话，服务器端会从新创建一个。PHPSESSID是一串加了密的字符串，它的生成按照必定的规则来执行。同一客户端启动二次session_start的话，session_id是不同的。

Host	*****************.com
User-Agent	Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Accept	text/css,*/*;q=0.1
Accept-Language	zh-cn,zh;q=0.5
Accept-Encoding	gzip,deflate
Accept-Charset	UTF-8,*
Keep-Alive	115
Connection	keep-alive
Referer	http://***************.com/
Cookie	BX=7f34kbl5d3m3g&b=3&s=9t; AWSUSER_ID=awsuser_id1267685109158r8091; PHPSESSID=us1o22h4iveo4uni3iksabreh4
If-Modified-Since	Tue, 29 Jun 2010 07:55:38 GMT

上面是一次请求的头信息。

session产生的session_id放在cookie里面，若是用户把cookie禁止掉，是否是session也不能用了呢？禁止掉cookie后，session固然能够用，不过经过其余的方式来得到这个sessionid，好比，能够根在url的后面，或者以表单的形势提交到服务器端。从而使服务器端了解客户端的状态。

四，session和cookie谁更安全

就我的而言，我以为session更安全一点，我如下几点见解。

1，若是session和cookie同样安全的话，两者就没有并要同时存在了，只要cookie就行了，让客户端来分提服务器的负担，而且对于用户来讲又是透明的。何乐而不为呢。

2，session的sessionID是放在cookie里，要想功破session的话，第一要功破cookie。功破cookie后，你要获得 sessionID,sessionID是要有人登陆，或者启动session_start才会有，你不知道何时会有人登陆。第二，sessionID是加密的，第二次session_start的时候，前一次的sessionID就没有用了，session过时时sessionid也会失效，想在短期内功破加了密的 sessionID很难。session是针对某一次通讯而言，会话结束session也就随着消失了，而真正的cookie存在于客户端硬盘上的一个文本文件，谁安全很显然了。

3，若是session这么容易被功破，这么不安全的话，我想现有的绝大部分网站都不安全了。

---

一、做用域控制对象

(1)做用

表示一个对象的存在范围

(2)分类

A：当前jsp文件（当前jsp编译生成的类文件）

page  默认的

特例：包含指令实现包含效果时，在被包含文件中声明的对象。

B：具备明确请求传递关系的两个jsp文件

request：利用属性（一键一值）实现的对象存储。

request中属性存储的对象信息，会在接受请求的文件执行完成后，自动清除。

使用场景：页面转发效果时，进行的值的传递。

C：客户端信息的存储方式

第一种：用户（客户端）信息存储方式：用户信息所有由客户端实现存储和管理。

第二种：服务器端的信息存储。信息统一存储到服务器上。

技术上的实现：

客户端存储方式：Cookie

服务器端的信息存储：Session application

二、Cookie

(1)理解

“小甜饼”。存储在客户端机器浏览器临时目录中，实现用户基本信息存储的临时文本文件。

(2)特征

A：是文本文件

B：是临时性的文本文件。

C：文件的大小通常不超过1K

D：存储在浏览器的临时目录中

E：默认的，COOKIE对于浏览器不兼容，对WEB应用程序共享。

F：cookie以名称与值的方式存储用户的基本信息。

G：存储信息的做用域是：一个浏览器访问的多个页面

H：cookie会泄露用户我的隐私

I：cookie是会被客户端禁用的

(3)应用

A：建立cookie

Cookie  cookie=new Cookie("名称"，“值”);

一个cookie只能存储一个值，一个Cookie文件能够存储多个Cookie

B：指定cookie的生效期

明确cookie文件的存在时间。

cookie的分类：会话级ccokie和永久性cookie。

会话级cookie：cookie只在当前用户访问过程当中，在缓存中存在。用户一退出，cookie自动清除。程序上的体现：不指定cookie的保存时间。

永久性cookie：一明确cookie的存在时间了，cookie文件就会在客户端机器中建立。一建立，就认为是永久性的。

cookie.setMaxAge(int)--->秒为单位

C：输出cookie

在客户端创建文本

response.addCookie(cookie)

D:从客户端得到Cookie

request.getCookies()---->数组。客户端当前浏览器中全部cookie组成的集合。

   如何查看服务器端输送到咱们电脑中的这些Cookie信息：

  
     点开IE浏览器或其余浏览器，在菜单栏中有工具选项，点开有InterNet选项：
      
    Cookie名称、来源、文件格式（文本文件）、文件大小（1K以内）
   Cookie有效期

双击一个Cookie文件，咱们能够看到以*分割的信息：

(4)集合应用场景

cookie版的计数器：欢迎。。。光临，这是您第？次访问本站。

记录客户简单的喜爱信息：亚马逊

四、客户端信息的跟踪方式

如何识别客户信息：

（1）利用cookie

（2）利用url重写

（3）隐藏域

（4）session

五、session

(1)理解

会话。客户端与服务器端的一组信息的交互。

(2)做用

在服务器缓存上，分配出来的，存储单个用户信息的空间。

(3)特色

A：session存储的信息是在服务器的缓存上存储的

B：每一个用户，只要一访问web应用（典型的登陆），服务器立刻会为此用户分配一个独立的缓存空间。

C：每一个session。系统都会自动产生一个惟一标记的SessionID，用于区别。此id称为jsessionid、SessionID,以会话级cookie的方式存储的客户端缓存上。用于区分每个用户。

D：session中能够存储任何的对象信息（典型的购物车）

E：session是有生效期的，执行的是会话超时的工做机制。Tomcat中默认时间是30分钟。IIS中默认二十分钟。

F：session中的信息，是在一个用户在一个浏览器中的不一样页面上共享的（注意区别：Cookie是在同一个浏览器的全部页面中能够共享）。