浅谈cookie和session

Cookie简介

Cookie（复数形态Cookies），中文名称为“小型文本文件”，指某些网站为了辨别用户身份或存储用户相关信息而存储在用户本地终端（Client Side）

上的数据（通常为加密数据）。比如用户ID、密码、浏览过的网页等。

Cookie特点：

• 保存在客服端，一般由浏览器存储。
• 通常加密存储，由于存储本地，难保证安全，所以不宜存敏感信息
• 服务器决定保存的Cookie信息及时间。

说明：响应报文头中，有一个Set-Cookies域，用于指示浏览器或其他客户端，在本地保存Cookie信息

• Cookie保存在客户端本地的目的是为了下次访问网站时，可以直接调取，上送服务器。

说明：请求报文中，有一个cookies域专门用于存放该信息，以便客户端发送Cookie信息给服务器。如下图所示：

Session简介

1.       为什么会出现session：

Cookies的工作机制是用户识别和状态管理（比如保存用户的用户名、邮箱、地址等等），web网站为了管理用户的状态，通过web浏览器把一些数据，作为Cookies信息临时写入用户的计算机内，当用户再次访问web网站时，会将之前保存的Cookies（假如没有过期的话）取出来，发送给web网站，就实现了用户识别和状态管理。

这种机制的缺点：

• 数据保存在客户端本地，不安全
• 每次访问都要发送保存的Cookies数据，当网络访问量大的时候，会浪费网络带宽。

与Cookies不同的是，Session数据保存在服务端，一般存在服务器内存中。客户端与服务器通过一个SessionID来进行沟通，为了唯一，这个SessionID是一个32或48字节的随机字符串。

2.       SessionID的传送过程：

当客户端首次登录web系统后，web系统会通过响应报文，返回给客户端一个Key-Value格式的sessionID，当客户端第二次通过对web系统发起请求的时候，只要带上这个SessionID，web系统的服务端就能够通过这个SessionID在内存中找到这个客户端对应的客户信息和状态。

3.       SessionID缺点：

• 内存消耗大。
• 当web系统是多个节点的分布式系统时，需要做一些特殊设计和处理才能实现Session内容多节点的共享

Cookie和session的区别：

数据存储方式：

1. Cookie数据保存在客户端浏览器中。
2. Session数据保存在服务器内存中。

安全性：

1. Session存储数据相对Cookie 存储数据更安全。

资源占用：

1. Cookie 在网路访问量大时对网络带宽消耗较大。
2. Session内存消耗较大，且在分布式系统中，要实现Session多节点共享比较麻烦。

Cookie和session工作原理示意图：