Cookie&Session、LocalStorage&SessionStorage、HTTP緩存

<pre>標籤能夠保留回車和空格等你怎麼寫它就怎麼展現的內容

cookie

cookie能夠看做是一種設置，容許瀏覽器在電腦本地硬盤的某一個隱蔽的地方開發一塊存儲空間，用來存放某些特定的內容。

若是在服務器端設置了容許使用cookie，那麼，以後瀏覽器每次向同域名服務器發送請求，都會帶上cookie，意味着每發送一次請求，瀏覽器都會把存在本地硬盤那某一個隱蔽地方里的文件發送給服務器，交由服務器處理。

一般，咱們習慣將用戶的登錄信息存放在cookie裏，因此，服務器可以經過瀏覽器發送給它的cookie判斷用戶註冊了沒有？、用戶名密碼是否正確？、用戶名密碼是否匹配？、該用戶多少等級了？。。。由此，返回相應的網頁內容。

在這裏爲何總感受難以理解？？這是由於，cookie的概念要涉及服務器和瀏覽器，二者感受交織在一塊兒。因此，有必要理清一下思路：cookie的基本操做流程。

cookie的基本操做流程

• 第一，瀏覽器會發送一個請求，將一個東西（對象、哈希、數組，隨便你怎麼叫）發送給服務器
• 第二，服務器將發送給它的這個東西進行處理，獲得的結果以字符串的形式、經過Set-Cookie響應頭返回給瀏覽器，該字符串稱之爲cookie
• 第三，如今瀏覽器獲得Set-Cookie響應頭並獲允使用cookie，以後，用戶每次向相同域名網站的服務器發送的請求，都會帶上該cookie
• 第四，每一次請求，服務器能夠讀取cookie，獲取cookie中包含的信息（用戶資料、特定頁面信息等），而後向瀏覽器返回相應的內容

cookie示例

前端代碼：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('郵箱與密碼不匹配')
})

使用node.js寫的後端代碼示意：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader('Set-Cookie','sign_in_email=${email}'; HttpOnly; Max-Age=3000');
    //your code
}else if(path === '/index.html'){
    //your code
    let cookies = request.headers.cookie;
    //your code
}

在上述示例代碼中，

• 第一步，前端代碼（瀏覽器）使用jquery的post()方法向服務器朝/sign_in路徑發送了一個請求，將變量hash傳給了服務器。
• 第二步，後端代碼（服務器）在//your code裏對變量hash處理後，將處理結果變成'sign_in_email=${email}'的字符串（其中${email}表示變量email表明的數據），而後設置了響應頭Set-Cookie返回給瀏覽器，並加諸了像HttpOnly、Max-Age等各種設置（詳細說明請參見https://developer.mozilla.org...）。
• 第三步，瀏覽器收到了服務器返回的響應頭Set-Cookie和cookie（字符串），說明請求成功了，會將網頁重定向爲/index.html（這裏使用了promise：.then((response)=>{window.location.href = '/index.html'）。因此瀏覽器又向服務器發送了一次請求。此次請求會帶上cookie
• 第四步，服務器又收到了一次請求，此次請求的路徑是/index.html，而且帶有cookie。那麼，服務器可使用request.headers.cookie來獲取cookie，而後在//your code裏處理後，在//your code裏給瀏覽器返回相應的頁面

cookie的幾個特色

• 不一樣瀏覽器之間的cookie不通用

  這就好像Firfox的www.segmentfault.com不是chorme的www.segmentfault.com

• cookie存在硬盤的某一個神祕文件裏

• cookie很容易被修改，用戶能夠本身進入瀏覽器控制檯修改cookie

  看到下圖，Firfox的控制檯進入存儲、進入Cookies，咱們修改了兩個值，而且刷新後，一個值會變回來，一個值沒有變回來
  

• cookie的有效期默認由瀏覽器本身決定，固然能夠經過後端設置cookie的保存時間

  固然，不一樣後端語法不同寫法不同，一般都是設定Max-Age或者Expires屬性
  詳細能夠參見：
  Set-Cookie：https://developer.mozilla.org...
  HTTP cookies：https://developer.mozilla.org...

cookie應用

可想而知，cookie最經常使用的就是註冊&登錄啦~~~

• 先在瀏覽器註冊，註冊好了就向瀏覽器發送請求，報告！請求註冊成功頁面！！
• 服務器檢查下本身的數據庫，這是個新兵，存下來存下來，而後返回包含新兵狗牌的cookie和註冊成功頁面
• 這個cookie有時間限制，在這個時間段裏，新兵訪問服務器不用再報告了（瀏覽器發送請求一直帶着這個cookie）
• 過了這個時間段，cookie失效了（瀏覽器發送請求不帶上cookie了），很差意思，請證實你本身（登錄，並得到新的老兵狗牌的cookie和登錄成功頁面）

session

cookie好啊，可讓服務器知道咱們是VIP用戶了，不過由於能被輕鬆的查看而且容易被篡改，因此引出新概念session，而session更像是一種技術，而不是一種設置

從前，服務器直接將用戶信息存在cookie裏，如今，服務器將sessionId放在cookie裏，再經過sessionId到session表裏查找sessionId對應的相關內容。

那爲何就防止了cookie容易被篡改的問題呢？由於sessionId裏存放的是隨機數Math.random()，你取個不少位的隨機數，那普通人就沒辦法猜了，徹底不知道哪一個隨機數對應的是用戶、哪一個不是。
那要是sessionId被刪了呢？那沒辦法了，只能從新登錄，意味着從新提交、從新分配隨機數。

看上圖，上圖是在chorme裏控制檯的Application → Storage → Cookies選項，看到服務器向瀏覽器發送了帶有sessionId的cookie，一個隨機數，以後，瀏覽器再向服務器發送請求就會帶上這個cookie

session其實本質上就是cookie，只不過加了一箇中間量sessionId，咱們仍是來看看session的基本流程

session的基本流程

• 第一，瀏覽器會發送一個請求，將一個東西（對象、哈希、數組，隨便你怎麼叫）發送給服務器
• 第二，服務器有一個哈希叫做session，該哈希的key就是sessionId(隨機數)、value是第一步裏送送給服務器的東西的處理結果：一個字符串，之前的cookie
• 第三，服務器會設置響應頭Set-Sookie，將sessionId(隨機數)經過cookie的形式發送給瀏覽器
• 第四，以後，瀏覽器每請求一次服務器，就會帶上這個含有sessionId的cookie，服務器就會讀取sessionId，並在session哈希裏查找sessionId對應的值，而後做出相應的操做

session示例

前端代碼：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('郵箱與密碼不匹配')
})

使用node.js寫的後端代碼示意：

let sessions = {};
if(path === '/sign_in' && method === 'post'){
    //your code
    let sessionId = Math.random()*100000000;
    session[sessionId] = {sign_in_email:email};
    response.setHeader('Set-Cookie','sessionId=${sessionId}'; HttpOnly; Max-Age=3000');
    //your code
}else if(path === '/index.html'){
    //your code
    let cookies = request.headers.cookie;
    let sessionId = ;
    let email = session[sessionId];
    //your code
}

上面發生了什麼能夠經過和cookie做對比知道：

• 第一，在服務器咱們設置了一個哈希let session = {}
• 第二，在服務器咱們生成一個隨機數sessionId做爲session的鍵，獲取email做爲該鍵的值
• 第三，服務器設置Set-Cookie響應頭，將sessionId做爲cookie傳回給瀏覽器
• 第四，瀏覽器請求成功，網頁重定向爲/index.html，從新發送請求，帶有cookie，其中帶有sessionId
• 第五，服務器接收到cookie，獲得sessionId，搜尋session，得到相應email，在//your code裏返回相應內容

localStorage

localStorage是HTML5發佈的新api。它是一個哈希，做用就是字面意思，本地存儲，只不過這裏的本地指的是瀏覽器。

請參考：https://developer.mozilla.org...

用法也不難，你能夠經過localStorage本身的方法往這個哈希裏面的數據，再經過localStorage本身的方法調用裏面的數據。

localStorage的方法

• 設置一個localStorage值：setItem

  localStorage.setItem("cat","rainy");

• 獲取一個localStorage值：getItem

  var cat = localStorage.getItem("cat");

• 移除一個localStorage值：removeItem

  localStorage.removeItem("cat");

• 清除全部localStorage值：clear

  localStorage.clear();

• 查看localStorage哈希：localStorage

  console.log(localStorage);

localStorage的特色

• 和http無關，意味着它不會存在於瀏覽器和服務器之間的通訊，請求響應時不會帶上localStorage的值
• 只有相同域名的頁面才能互相讀取localStorage
• 固然，localStorage是瀏覽器本身的存儲空間，因此不一樣瀏覽器之間也是不能相互讀取的
• 當頁面刷新或者關閉後，localStorage裏的值也不會消失，因此叫local呀~
  
• localStorage的物理地址存在硬盤裏的某個文件裏
• 每一個域名的localStorage最大存儲空間都是瀏覽器自定的，通常在5MB左右，若是溢出就會有下面這樣的提示
  
• 永久有效，除非手動清理

sessionStorage

此接口做用和localStorage同樣樣，也是開闢了一塊地方供瀏覽器存儲數據用。

請參考：https://developer.mozilla.org...

sessionStorage的方法請參考上一章localStorage的方法。請將localStorage都替換成爲sessionStorage。

sessionStorage的特色請參考上一章localStorage的特色。惟一的區別在於sessionStorage在關閉頁面後就被清空了。請看下動圖。

小結

• 形象理解cookie&session

  就好像要去遊樂園（服務器）玩，你能夠選擇買票（登錄，得到cookie）或者不買票（不登錄，隨便逛逛），不買票只能玩一些項目（網頁公共內容），買了票能解鎖更多項目（網頁私有內容）。那麼關於這張票，若是實名認證的，你的姓名、身份證號都在上面，這是cookie的作法，若是票上面只有一個編號，遊樂園須要經過編號查找數據庫才能認證你，那這就是session的作法
  

• cookie和session有啥區別？

  session是基於cookie實現的。session就是不直接將用戶信息存放在cookie裏，而是將sessionId放在cookie裏傳給服務器，服務器經過sessionId在session哈希裏查找相應的值

• cookie和localstorage有啥區別？

  cookie會隨着每一次請求發送給服務器，而localStorage則不會帶給服務器，它是瀏覽器的一塊存儲地。另外，cookie通常只有5KB左右的大小，而localStorage通常則有5MB左右的大小

• sessionStorage和localStorage有啥區別？

  sessionStorage在頁面關閉（會話結束）後就被所有清空，而localStorage則不會。

• 做爲前端，最好不要直接讀/寫cookie。cookie的內容越多，發送給服務器的時間越長，影響請求時間，致使訪問變慢。若是通常的數據，不須要特別發給服務器的，請使用localStorage

http緩存

Cache-Control

顧名思義，控制緩存

若服務器設置了該項設置，意味着頁面將被放在緩存裏，當瀏覽器須要請求服務器的時候，將不會將請求發送至服務器，而是直接調用緩存裏的頁面。

各種屬性詳細請參考：https://developer.mozilla.org...

請看下圖，右側瀏覽器Chorme向服務器Server請求/main.js，服務器Server返回瀏覽器Chorme一個Max-Age=30的Cache-Control的響應頭。那麼接下來的30s內，瀏覽器Chorme再向服務器Server請求/main.js，注意！！！必須是徹底相同的URL！！！，會直接從緩存（內存）裏調用main.js，直到過了30s從能再從服務器端獲取main.js

Cache-Control的使用

前端代碼：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('郵箱與密碼不匹配')
})

使用Node.js寫的後端：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader("Cache-Control","max-age=30");
    //your code
}

上面的代碼顯示，在30s的時間內，任何以post方法向服務器/sign_in路徑的請求，都不會被髮送，而會直接調用緩存裏/index.html的頁面

Cache-Control的幾個特色

• 一般首頁請不要設置緩存，若是設置了，就意味着作任何操做後，頁面都從緩存裏調用，這樣就不會再更新新的頁面。

• 除去首頁，其它資源能夠設置爲10年，300000000，3後面8個0

  什麼？10年？那須要更改了怎麼辦？
  修改url
  原來頁面裏引用的js例如說像這樣：<script src="./myCatRainy.css"></script>
  那麼如今只須要改正這樣：<script src="./myCatRainy.css?v=1"></script>
  看出區別了嗎？多了?/v=1，可是兩個路徑都調用的同一個文件

• 一樣，Cache-Control控制的緩存的物理地址在硬盤裏的某一個位置，瀏覽器會設置一個固定大小，多了就將以前的緩存清掉

Expires

曾經，咱們使用Expires設置緩存控制響應頭：

if(path === '/sign_in' && method === 'post'){
    //your code
    response.setHeader("Expires","Sun, 04 Feb 2018 14:00:05 GM");
    //your code
}

區別在於Expires設置的是過時時間點，且該過時時間點參考的是本地時間，本地時間會由於機器故障、人爲修改等緣由不盡相同。而Cache-Control設置的則是過時時間段

另外，若是同時設置了Cache-Control和Expires，Expires會被覆蓋、會被忽略

ETag

MD5

全稱：MD5信息摘要算法
英文：Message Digest Algorithm MD5
做用：比較兩個文件的差別
原理：一個文件經過幾個步驟將產生出一個128位（16字節）的散列值（hash value）
特色：兩個文件，差別越小，算出來的MD5值差異越大
使用：專門生成MD5的軟件，npm安裝。。。

ETag

若須要啓用ETag設置，服務器要設置ETag響應頭，該響應頭將服務器端的頁面的MD5值返回給瀏覽器。這樣，瀏覽器在下次請求的時候，會多提交一個請求頭if-none-match，裏面存放便是服務器響應回來的MD5值。如此，服務器可以對比本身如今的MD5和瀏覽器發送過來的MD5，若是同樣就不用返回服務器端頁面了，若是不同纔將服務器端的新頁面返回給瀏覽器

ETag示例

前端代碼：

$.post('/sign_in', hash)
     .then((response)=>{
         window.location.href = '/index.html'
     }, (request)=>{
         alert('郵箱與密碼不匹配')
})

使用Node.js寫的後端：

if(path === '/sign_in' && method === 'post'){
    //your code
    let string = fs.readFileSync('./sign_in.html','utf-8');
    let fileMD5 = md5(string);
    let lastMD5 = request.headers['if-none-match'];
    if(fileMD5 === lastMD5){
        response.statusCode = 304;
    }else{
        response.setHeader("ETag",fileMD5);
        response.write(string);
    }
    //your code
}

來來來，看這裏：

• 第一，瀏覽器的第一個請求是沒有if-none-match這個請求的，因此，服務器會設置一個響應頭response.setHeader("ETag",fileMD5);，將服務器端頁面的MD5返回給瀏覽器
  
• 第二，等瀏覽器再次發送請求的時候，就會多帶上一個請求頭if-none-match
  
• 第三，看到後端代碼，取到瀏覽器請求過來的MD5let lastMD5 = request.headers['if-none-match'];，獲得服務器端文件如今的MD5let fileMD5 = md5(string);（已經用npm安裝過生成MD5的程序），若是相同，返回304if(fileMD5 === lastMD5){response.statusCode = 304;}，若是不一樣，返回新的MD5和新的頁面else{response.setHeader("ETag",fileMD5);response.write(string);}

Last-Modify

Last-Modify和Etag做用同樣，用法也同樣，惟一不一樣的地方是ETag返回的是一個MD5值，而Last-Modify返回的是一個時間點。也就是說，ETag對比瀏覽器和服務器頁面的MD5，Last-Modify對比瀏覽器和服務器頁面的時間點。

若是更新時間間隔較短，請選用ETag，更新時間中等，能夠選用Last-Modify。固然，ETag優先級是要高於Last-Modify的。另外，Lsat-Modify不支持秒級別更新。這一段請參考：https://www.zhihu.com/questio...

小結

關於HTTP緩存有下面幾種控制：

• Cache-Control：使用Max-Age設定緩存過時時間段
• Expires：直接設定緩存過時時間點
• ETag：對比兩端文件的MD5值
• Last-Modify：對比兩端文件的最後修改時間點