具体来讲cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制,他须要用户打开客户端的cookie支持。cookie的做用就是为了解决HTTP协议无状态的缺陷所做的努力.
而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时咱们也看到,因为采用服务器端保持状态的方案在客户端也须要保存一个标识,因此session机制可能须要借助于cookie机制来达到保存标识的目的。而session提供了方便管理全局变量的方式
session是针对每个用户的,变量的值保存在服务器上,用一个sessionID来区分是哪一个用户session变量,这个值是经过用户的浏览器在访问的时候返回给服务器,当客户禁用cookie时,这个值也可能设置为由get来返回给服务器。
就安全性来讲:当你访问一个使用session 的站点,同时在本身机子上创建一个cookie,建议在服务器端的SESSION机制更安全些.由于它不会任意读取客户存储的信息。
正统的cookie分发是经过扩展HTTP协议来实现的,服务器经过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie
从网络服务器观点看全部HTTP请求都独立于先前请求。就是说每个HTTP响应彻底依赖于相应请求中包含的信息
状态管理机制克服了HTTP的一些限制并容许网络客户端及服务器端维护请求间的关系。在这种关系维持的期间叫作会话(session)。
Cookies是服务器在本地机器上存储的小段文本并随每个请求发送至同一个服务器。web
session机制是一种服务器端的机制,服务器使用一种相似于散列表的结构(也可能就是使用散列表)来保存信息。
当程序须要为某个客户端的请求建立一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id,若是已包含一个session id则说明之前已经为此客户端建立过session,服务器就按照session id把这个 session检索出来使用(若是检索不到,可能会新建一个),若是客户端请求不包含session id,则为此客户端建立一个session而且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个 session id将被在本次响应中返回给客户端保存。浏览器
在谈论session机制的时候,经常听到这样一种误解“只要关闭浏览器,session就消失了”。其实能够想象一下会员卡的例子,除非顾客主动对店家提出销卡,不然店家绝对不会轻易删除顾客的资料。对session来讲也是同样的,除非程序通知服务器删除一个session,不然服务器会一直保留,程序通常都是在用户作log off的时候发个指令去删除session。然而浏览器历来不会主动在关闭以前通知服务器它将要关闭,所以服务器根本不会有机会知道浏览器已经关闭,之因此会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个 session id就消失了,再次链接服务器时也就没法找到原来的session。若是服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然可以找到原来的session。
偏偏是因为关闭浏览器不会致使session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就能够认为客户端已经中止了活动,才会把session删除以节省存储空间。
安全
你们都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,并且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每个用户的,变量的值保存在服务器端,经过SessionID来区分不一样的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,咱们叫作session cookie,以区别persistent cookies,也就是咱们一般所说的cookie,注意session cookie是存储于浏览器内存中的,并非写到硬盘上的,这也就是咱们刚才看到的JSESSIONID,咱们一般情是看不到JSESSIONID的,可是当咱们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,咱们就能够在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理,咱们就能够很容易的分辨出persistent cookies和session cookie的区别了,网上那些关于二者安全性的讨论也就一目了然了,session cookie针对某一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本(一般是加密的),并且可能会遭到cookie欺骗以及针对cookie的跨站脚本***,天然不如session cookie安全了。
一般session cookie是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样咱们信息共享的目的就达不到了,此时咱们能够先把sessionid保存在persistent cookie中,而后在新窗口中读出来,就能够获得上一个窗口SessionID了,这样经过session cookie和persistent cookie的结合咱们就实现了跨窗口的session tracking(会话跟踪)。
在一些web开发的书中,每每只是简单的把Session和cookie做为两种并列的http传送信息的方式,session cookies位于服务器端,persistent cookie位于客户端,但是session又是以cookie为基础的,明白的二者之间的联系和区别,咱们就不难选择合适的技术来开发web service了。服务器