Http协议中Cookie详细介绍

Cookie老是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过时时间，除非用户手工清理或到了过时时间，硬盘Cookie不会被删除，其存在时间是长期的。因此，按存在时间，可分为非持久Cookie和持久Cookie。

 

HTTP请求+cookie的交互流程

若是步骤5携带的是过时的cookie或者是错误的cookie，那么将认证失败，返回至要求身份认证页面。

 HTTP协议做为无状态协议，对于HTTP协议而言，无状态一样指每次request请求以前是相互独立的，当前请求并不会记录它的上一次请求信息。那么问题来了，既然无状态，那完成一套完整的业务逻辑，发送屡次请求的状况数不胜数，使用http如何将上下文请求进行关联呢？机智的人类经过优化，找到了一种简单的方式记录http协议的请求信息

优化后的HTTP请求：

• 浏览器发送request请求到服务器，服务器除了返回请求的response以外，还给请求分配一个惟一标识ID，协同response一并返回给浏览器。

• 同时服务器在本地建立一个MAP结构，专门以key-value（请求ID-会话内容）形式将每一个request进行存储
• 此时浏览器的request已经被赋予了一个ID，第二次访问时，服务器先从request中查找该ID，根据ID查找维护会话的content内容，该内容中记录了上一次request的信息状态。
• 根据查找出的request信息生成基于这些信息的response内容，再次返回给浏览器。若是有须要会再次更新会话内容，为下一次请求提供准备。

因此根据这个会话ID，以创建屡次请求-响应模式的关联数据传递。说到这里可能已经唤起了你们许多共鸣。这就是cookie和session对无状态的http协议的强大做用。服务端生成这个全局的惟一标识，传递给客户端用于惟一标记此次请求，也就是cookie；而服务器建立的那个map结构就是session。因此，cookies由服务端生成，用于标记客户端的惟一标识，无特定含义，在每次网络请求中，都会被传送。session服务端本身维护的一个map数据结构，记录key-content上下文内容状态。

 

cookie的属性

通常cookie所具备的属性，包括：

Domain：域，表示当前cookie所属于哪一个域或子域下面。

对于服务器返回的Set-Cookie中，若是没有指定Domain的值，那么其Domain的值是默认为当前所提交的http的请求所对应的主域名的。好比访问 http://www.example.com，返回一个cookie，没有指名domain值，那么其为值为默认的www.example.com。

Path：表示cookie的所属路径。

Expire time/Max-age：表示了cookie的有效期。expire的值，是一个时间，过了这个时间，该cookie就失效了。或者是用max-age指定当前cookie是在多长时间以后而失效。若是服务器返回的一个cookie，没有指定其expire time，那么代表此cookie有效期只是当前的session，便是session cookie，当前session会话结束后，就过时了。对应的，当关闭（浏览器中）该页面的时候，此cookie就应该被浏览器所删除了。

secure：表示该cookie只能用https传输。通常用于包含认证信息的cookie，要求传输此cookie的时候，必须用https传输。

httponly：表示此cookie必须用于http或https传输。这意味着，浏览器脚本，好比javascript中，是不容许访问操做此cookie的。

服务器发送cookie给客户端

从服务器端，发送cookie给客户端，是对应的Set-Cookie。包括了对应的cookie的名称，值，以及各个属性。

Set-Cookie: lu=Rg3vHJZnehYLjVg7qi3bZjzg; Expires=Tue, 15 Jan 2013 21:47:38 GMT; Path=/; Domain=.169it.com; HttpOnly
 Set-Cookie: made_write_conn=1295214458; Path=/; Domain=.169it.com
 Set-Cookie: reg_fb_gate=deleted; Expires=Thu, 01 Jan 1970 00:00:01 GMT; Path=/; Domain=.169it.com; HttpOnly

 

从客户端把cookie发送到服务器

从客户端发送cookie给服务器的时候，是不发送cookie的各个属性的，而只是发送对应的名称和值。

GET /spec.html HTTP/1.1 Host: www.example.org Cookie: name=value; name2=value2 Accept: */*  

 

关于修改，设置cookie

除了服务器发送给客户端（浏览器）的时候，经过Set-Cookie，建立或更新对应的cookie以外，还能够经过浏览器内置的一些脚本，好比javascript，去设置对应的cookie，对应实现是操做js中的document.cookie。

 

Cookie的缺陷

• cookie会被附加在每一个HTTP请求中，因此无形中增长了流量。
• 因为在HTTP请求中的cookie是明文传递的，因此安全性成问题。（除非用HTTPS)
• Cookie的大小限制在4KB左右。对于复杂的存储需求来讲是不够用的。