Cookie&Session、LocalStorage&SessionStorage、HTTP缓存

<pre>标签能够保留回车和空格等你怎么写它就怎么展现的内容

cookie

cookie能够看做是一种设置，容许浏览器在电脑本地硬盘的某一个隐蔽的地方开发一块存储空间，用来存放某些特定的内容。

若是在服务器端设置了容许使用cookie，那么，以后浏览器每次向同域名服务器发送请求，都会带上cookie，意味着每发送一次请求，浏览器都会把存在本地硬盘那某一个隐蔽地方里的文件发送给服务器，交由服务器处理。

一般，咱们习惯将用户的登录信息存放在cookie里，因此，服务器可以经过浏览器发送给它的cookie判断用户注册了没有？、用户名密码是否正确？、用户名密码是否匹配？、该用户多少等级了？。。。由此，返回相应的网页内容。

在这里为何总感受难以理解？？这是由于，cookie的概念要涉及服务器和浏览器，二者感受交织在一块儿。因此，有必要理清一下思路：cookie的基本操做流程。

cookie的基本操做流程

• 第一，浏览器会发送一个请求，将一个东西（对象、哈希、数组，随便你怎么叫）发送给服务器
• 第二，服务器将发送给它的这个东西进行处理，获得的结果以字符串的形式、经过Set-Cookie响应头返回给浏览器，该字符串称之为cookie
• 第三，如今浏览器获得Set-Cookie响应头并获允使用cookie，以后，用户每次向相同域名网站的服务器发送的请求，都会带上该cookie
• 第四，每一次请求，服务器能够读取cookie，获取cookie中包含的信息（用户资料、特定页面信息等），而后向浏览器返回相应的内容

cookie示例

前端代码：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('邮箱与密码不匹配')
})

使用node.js写的后端代码示意：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader('Set-Cookie','sign_in_email=${email}'; HttpOnly; Max-Age=3000');
    //your code
}else if(path === '/index.html'){
    //your code
    let cookies = request.headers.cookie;
    //your code
}

在上述示例代码中，

• 第一步，前端代码（浏览器）使用jquery的post()方法向服务器朝/sign_in路径发送了一个请求，将变量hash传给了服务器。
• 第二步，后端代码（服务器）在//your code里对变量hash处理后，将处理结果变成'sign_in_email=${email}'的字符串（其中${email}表示变量email表明的数据），而后设置了响应头Set-Cookie返回给浏览器，并加诸了像HttpOnly、Max-Age等各种设置（详细说明请参见https://developer.mozilla.org...）。
• 第三步，浏览器收到了服务器返回的响应头Set-Cookie和cookie（字符串），说明请求成功了，会将网页重定向为/index.html（这里使用了promise：.then((response)=>{window.location.href = '/index.html'）。因此浏览器又向服务器发送了一次请求。此次请求会带上cookie
• 第四步，服务器又收到了一次请求，此次请求的路径是/index.html，而且带有cookie。那么，服务器可使用request.headers.cookie来获取cookie，而后在//your code里处理后，在//your code里给浏览器返回相应的页面

cookie的几个特色

• 不一样浏览器之间的cookie不通用

  这就好像Firfox的www.segmentfault.com不是chorme的www.segmentfault.com

• cookie存在硬盘的某一个神秘文件里

• cookie很容易被修改，用户能够本身进入浏览器控制台修改cookie

  看到下图，Firfox的控制台进入存储、进入Cookies，咱们修改了两个值，而且刷新后，一个值会变回来，一个值没有变回来
  

• cookie的有效期默认由浏览器本身决定，固然能够经过后端设置cookie的保存时间

  固然，不一样后端语法不同写法不同，一般都是设定Max-Age或者Expires属性
  详细能够参见：
  Set-Cookie：https://developer.mozilla.org...
  HTTP cookies：https://developer.mozilla.org...

cookie应用

可想而知，cookie最经常使用的就是注册&登录啦~~~

• 先在浏览器注册，注册好了就向浏览器发送请求，报告！请求注册成功页面！！
• 服务器检查下本身的数据库，这是个新兵，存下来存下来，而后返回包含新兵狗牌的cookie和注册成功页面
• 这个cookie有时间限制，在这个时间段里，新兵访问服务器不用再报告了（浏览器发送请求一直带着这个cookie）
• 过了这个时间段，cookie失效了（浏览器发送请求不带上cookie了），很差意思，请证实你本身（登录，并得到新的老兵狗牌的cookie和登录成功页面）

session

cookie好啊，可让服务器知道咱们是VIP用户了，不过由于能被轻松的查看而且容易被篡改，因此引出新概念session，而session更像是一种技术，而不是一种设置

从前，服务器直接将用户信息存在cookie里，如今，服务器将sessionId放在cookie里，再经过sessionId到session表里查找sessionId对应的相关内容。

那为何就防止了cookie容易被篡改的问题呢？由于sessionId里存放的是随机数Math.random()，你取个不少位的随机数，那普通人就没办法猜了，彻底不知道哪一个随机数对应的是用户、哪一个不是。
那要是sessionId被删了呢？那没办法了，只能从新登录，意味着从新提交、从新分配随机数。

看上图，上图是在chorme里控制台的Application → Storage → Cookies选项，看到服务器向浏览器发送了带有sessionId的cookie，一个随机数，以后，浏览器再向服务器发送请求就会带上这个cookie

session其实本质上就是cookie，只不过加了一个中间量sessionId，咱们仍是来看看session的基本流程

session的基本流程

• 第一，浏览器会发送一个请求，将一个东西（对象、哈希、数组，随便你怎么叫）发送给服务器
• 第二，服务器有一个哈希叫做session，该哈希的key就是sessionId(随机数)、value是第一步里送送给服务器的东西的处理结果：一个字符串，之前的cookie
• 第三，服务器会设置响应头Set-Sookie，将sessionId(随机数)经过cookie的形式发送给浏览器
• 第四，以后，浏览器每请求一次服务器，就会带上这个含有sessionId的cookie，服务器就会读取sessionId，并在session哈希里查找sessionId对应的值，而后做出相应的操做

session示例

前端代码：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('邮箱与密码不匹配')
})

使用node.js写的后端代码示意：

let sessions = {};
if(path === '/sign_in' && method === 'post'){
    //your code
    let sessionId = Math.random()*100000000;
    session[sessionId] = {sign_in_email:email};
    response.setHeader('Set-Cookie','sessionId=${sessionId}'; HttpOnly; Max-Age=3000');
    //your code
}else if(path === '/index.html'){
    //your code
    let cookies = request.headers.cookie;
    let sessionId = ;
    let email = session[sessionId];
    //your code
}

上面发生了什么能够经过和cookie做对比知道：

• 第一，在服务器咱们设置了一个哈希let session = {}
• 第二，在服务器咱们生成一个随机数sessionId做为session的键，获取email做为该键的值
• 第三，服务器设置Set-Cookie响应头，将sessionId做为cookie传回给浏览器
• 第四，浏览器请求成功，网页重定向为/index.html，从新发送请求，带有cookie，其中带有sessionId
• 第五，服务器接收到cookie，获得sessionId，搜寻session，得到相应email，在//your code里返回相应内容

localStorage

localStorage是HTML5发布的新api。它是一个哈希，做用就是字面意思，本地存储，只不过这里的本地指的是浏览器。

请参考：https://developer.mozilla.org...

用法也不难，你能够经过localStorage本身的方法往这个哈希里面的数据，再经过localStorage本身的方法调用里面的数据。

localStorage的方法

• 设置一个localStorage值：setItem

  localStorage.setItem("cat","rainy");

• 获取一个localStorage值：getItem

  var cat = localStorage.getItem("cat");

• 移除一个localStorage值：removeItem

  localStorage.removeItem("cat");

• 清除全部localStorage值：clear

  localStorage.clear();

• 查看localStorage哈希：localStorage

  console.log(localStorage);

localStorage的特色

• 和http无关，意味着它不会存在于浏览器和服务器之间的通讯，请求响应时不会带上localStorage的值
• 只有相同域名的页面才能互相读取localStorage
• 固然，localStorage是浏览器本身的存储空间，因此不一样浏览器之间也是不能相互读取的
• 当页面刷新或者关闭后，localStorage里的值也不会消失，因此叫local呀~
  
• localStorage的物理地址存在硬盘里的某个文件里
• 每一个域名的localStorage最大存储空间都是浏览器自定的，通常在5MB左右，若是溢出就会有下面这样的提示
  
• 永久有效，除非手动清理

sessionStorage

此接口做用和localStorage同样样，也是开辟了一块地方供浏览器存储数据用。

请参考：https://developer.mozilla.org...

sessionStorage的方法请参考上一章localStorage的方法。请将localStorage都替换成为sessionStorage。

sessionStorage的特色请参考上一章localStorage的特色。惟一的区别在于sessionStorage在关闭页面后就被清空了。请看下动图。

小结

• 形象理解cookie&session

  就好像要去游乐园（服务器）玩，你能够选择买票（登录，得到cookie）或者不买票（不登录，随便逛逛），不买票只能玩一些项目（网页公共内容），买了票能解锁更多项目（网页私有内容）。那么关于这张票，若是实名认证的，你的姓名、身份证号都在上面，这是cookie的作法，若是票上面只有一个编号，游乐园须要经过编号查找数据库才能认证你，那这就是session的作法
  

• cookie和session有啥区别？

  session是基于cookie实现的。session就是不直接将用户信息存放在cookie里，而是将sessionId放在cookie里传给服务器，服务器经过sessionId在session哈希里查找相应的值

• cookie和localstorage有啥区别？

  cookie会随着每一次请求发送给服务器，而localStorage则不会带给服务器，它是浏览器的一块存储地。另外，cookie通常只有5KB左右的大小，而localStorage通常则有5MB左右的大小

• sessionStorage和localStorage有啥区别？

  sessionStorage在页面关闭（会话结束）后就被所有清空，而localStorage则不会。

• 做为前端，最好不要直接读/写cookie。cookie的内容越多，发送给服务器的时间越长，影响请求时间，致使访问变慢。若是通常的数据，不须要特别发给服务器的，请使用localStorage

http缓存

Cache-Control

顾名思义，控制缓存

若服务器设置了该项设置，意味着页面将被放在缓存里，当浏览器须要请求服务器的时候，将不会将请求发送至服务器，而是直接调用缓存里的页面。

各种属性详细请参考：https://developer.mozilla.org...

请看下图，右侧浏览器Chorme向服务器Server请求/main.js，服务器Server返回浏览器Chorme一个Max-Age=30的Cache-Control的响应头。那么接下来的30s内，浏览器Chorme再向服务器Server请求/main.js，注意！！！必须是彻底相同的URL！！！，会直接从缓存（内存）里调用main.js，直到过了30s从能再从服务器端获取main.js

Cache-Control的使用

前端代码：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('邮箱与密码不匹配')
})

使用Node.js写的后端：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader("Cache-Control","max-age=30");
    //your code
}

上面的代码显示，在30s的时间内，任何以post方法向服务器/sign_in路径的请求，都不会被发送，而会直接调用缓存里/index.html的页面

Cache-Control的几个特色

• 一般首页请不要设置缓存，若是设置了，就意味着作任何操做后，页面都从缓存里调用，这样就不会再更新新的页面。

• 除去首页，其它资源能够设置为10年，300000000，3后面8个0

  什么？10年？那须要更改了怎么办？
  修改url
  原来页面里引用的js例如说像这样：<script src="./myCatRainy.css"></script>
  那么如今只须要改正这样：<script src="./myCatRainy.css?v=1"></script>
  看出区别了吗？多了?/v=1，可是两个路径都调用的同一个文件

• 一样，Cache-Control控制的缓存的物理地址在硬盘里的某一个位置，浏览器会设置一个固定大小，多了就将以前的缓存清掉

Expires

曾经，咱们使用Expires设置缓存控制响应头：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader("Expires","Sun, 04 Feb 2018 14:00:05 GM");
    //your code
}

区别在于Expires设置的是过时时间点，且该过时时间点参考的是本地时间，本地时间会由于机器故障、人为修改等缘由不尽相同。而Cache-Control设置的则是过时时间段

另外，若是同时设置了Cache-Control和Expires，Expires会被覆盖、会被忽略

ETag

MD5

全称：MD5信息摘要算法
英文：Message Digest Algorithm MD5
做用：比较两个文件的差别
原理：一个文件经过几个步骤将产生出一个128位（16字节）的散列值（hash value）
特色：两个文件，差别越小，算出来的MD5值差异越大
使用：专门生成MD5的软件，npm安装。。。

ETag

若须要启用ETag设置，服务器要设置ETag响应头，该响应头将服务器端的页面的MD5值返回给浏览器。这样，浏览器在下次请求的时候，会多提交一个请求头if-none-match，里面存放便是服务器响应回来的MD5值。如此，服务器可以对比本身如今的MD5和浏览器发送过来的MD5，若是同样就不用返回服务器端页面了，若是不同才将服务器端的新页面返回给浏览器

ETag示例

前端代码：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('邮箱与密码不匹配')
})

使用Node.js写的后端：

if(path === '/sign_in' && method === 'post'){
    //your code
    let string = fs.readFileSync('./sign_in.html','utf-8');
    let fileMD5 = md5(string);
    let lastMD5 = request.headers['if-none-match'];
    if(fileMD5 === lastMD5){
        response.statusCode = 304;
    }else{
        response.setHeader("ETag",fileMD5);
        response.write(string);
    }
    //your code
}

来来来，看这里：

• 第一，浏览器的第一个请求是没有if-none-match这个请求的，因此，服务器会设置一个响应头response.setHeader("ETag",fileMD5);，将服务器端页面的MD5返回给浏览器
  
• 第二，等浏览器再次发送请求的时候，就会多带上一个请求头if-none-match
  
• 第三，看到后端代码，取到浏览器请求过来的MD5let lastMD5 = request.headers['if-none-match'];，获得服务器端文件如今的MD5let fileMD5 = md5(string);（已经用npm安装过生成MD5的程序），若是相同，返回304if(fileMD5 === lastMD5){response.statusCode = 304;}，若是不一样，返回新的MD5和新的页面else{response.setHeader("ETag",fileMD5);response.write(string);}

Last-Modify

Last-Modify和Etag做用同样，用法也同样，惟一不一样的地方是ETag返回的是一个MD5值，而Last-Modify返回的是一个时间点。也就是说，ETag对比浏览器和服务器页面的MD5，Last-Modify对比浏览器和服务器页面的时间点。

若是更新时间间隔较短，请选用ETag，更新时间中等，能够选用Last-Modify。固然，ETag优先级是要高于Last-Modify的。另外，Lsat-Modify不支持秒级别更新。这一段请参考：https://www.zhihu.com/questio...

小结

关于HTTP缓存有下面几种控制：

• Cache-Control：使用Max-Age设定缓存过时时间段
• Expires：直接设定缓存过时时间点
• ETag：对比两端文件的MD5值
• Last-Modify：对比两端文件的最后修改时间点