cookie和session
浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie和session跟服务端进行数据交互。
**cookie和session都是用来跟踪浏览器用户身份的会话方式**
#### cookie和session的区别
##### 1.使用方式
cookie机制:如果不在浏览器中设置过期事件,cookie被保存在内存中,生命周期随浏览器的关闭而结束,这种cookie简称为会话cookie。如果在浏览器中设置了cookie的过期事件,cookie会被保存在硬盘中,关闭浏览器后,cookie数据仍然存在,直到过期事件结束才消失。cookie是服务端发给客户端的特殊信息,cookie是以文本的方式保存在客户端,每次请求时都带上它
session机制:当服务器收到请求需要创建session对象时,首先会检查客户端请求中是否包含sessionid。如果有sessionid,服务器将根据该id返回对应session对象。如果客户端请求中没有sessionid,服务器会创建新的session对象,并把sessionid在本次响应中返回给客户端。通常使用cookie方式存储sessionid到客户端,在交互中浏览器按照规则将sessionid发送给服务器。如果用户禁用cookie,则要使用URL重写,可以通过response.encodeURL(url)进行实现;API对encodeURL的结束为,当浏览器支持cookie时,url不做任何处理;当浏览器不支持cookie的时候,将会重写URL将sessionid拼接到访问地址后。
##### 2.保持状态
cookie保存在浏览器端,session保存在服务器端
##### 3.存储的大小
单个cookie保存的数据不能超过4kb;session大小没有限制。
session大小没有限制。
##### 4.存储内容
cookie只能保存字符串类型,以文本的方式。
session通过类似与Hashtable的数据结构来保存,能支持任何类型的对象(session中可含有多个对象)
##### 5.安全性
session的安全性大于cookie。原因如下:
```pgsql
① sessionid存储在cookie中,若要攻破session首先要攻破cookie;
② sessionid是要有人登录,或者启动session_start才会有,所以攻破cookie也不一定能得到sessionid;
③ 第二次启动session_start后,前一次的sessionid就是失效了,session过期后,sessionid也随之失效。
④ sessionid是加密的。