會話跟蹤是Web程序中經常使用的技術,用來跟蹤用戶的整個會話。經常使用的會話跟蹤技術是Cookie與Session。Cookie經過在客戶端記錄信息肯定用戶身份,Session經過在服務器端記錄信息肯定用戶身份。nginx
本文將講解Cookie和Session以及它們的區別。web
Cookie
HTTP 協議是無狀態的,主要是爲了讓 HTTP 協議儘量簡單,使得它可以處理大量事務。HTTP/1.1 引入 Cookie 來保存狀態信息。sql
Cookie 是服務器發送給客戶端的數據,該數據會被保存在瀏覽器中,而且客戶端的下一次請求報文會包含該數據。經過 Cookie 可讓服務器知道兩個請求是否來自於同一個客戶端,從而實現保持登陸狀態等功能。瀏覽器
建立過程
服務器發送的響應報文包含 Set-Cookie 字段,客戶端獲得響應報文後把 Cookie 內容保存到瀏覽器中。安全
HTTP/1.1 200 OK Server: nginx/1.10.3 (Ubuntu) Date: Wed, 04 Apr 2018 07:52:53 GMT Content-Type: text/html; charset=utf-8 Transfer-Encoding: chunked Connection: keep-alive Vary: Accept-Encoding Vary: Cookie X-Frame-Options: SAMEORIGIN Set-Cookie: csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu; expires=Wed, 03-Apr-2019 07:52:53 GMT; Max-Age=31449600; Path=/; secure Strict-Transport-Security: max-age=315360000; includeSubDomains Content-Encoding: gzip
客戶端以後發送請求時,會從瀏覽器中讀出 Cookie 值,在請求報文中包含 Cookie 字段。服務器
GET / HTTP/1.1 Host: leetcode-cn.com Connection: keep-alive Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Cookie: Hm_lvt_fa218a3ff7179639febdb15e372f411c=1522568819,1522574611,1522657411,1522828353; Hm_lpvt_fa218a3ff7179639febdb15e372f411c=1522828370; csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu
分類
- 會話期 Cookie:瀏覽器關閉以後它會被自動刪除,也就是說它僅在會話期內有效。
- 持久性 Cookie:指定一個特定的過時時間(Expires)或有效期(Max-Age)以後就成爲了持久性的 Cookie。
Set-Cookie: csrftoken=Unoyq4GhHrctiYdxp02xjl4exWS5JYmTzYm2UHJUwjeR0UFMIyv4CxUFicFDcGyu; expires=Wed, 03-Apr-2019 07:52:53 GMT; Max-Age=31449600;
Set-Cookie
| 屬性 | 說明 |
|---|---|
| NAME=VALUE | 賦予 Cookie 的名稱和其值(必需項) |
| expires=DATE | Cookie 的有效期(若不明確指定則默認爲瀏覽器關閉前爲止) |
| path=PATH | 將服務器上的文件目錄做爲 Cookie 的適用對象(若不指定則默認爲文檔所在的文件目錄) |
| domain=域名 | 做爲 Cookie 適用對象的域名(若不指定則默認爲建立 Cookie 的服務器的域名) |
| Secure | 僅在 HTTPs 安全通訊時纔會發送 Cookie |
| HttpOnly | 加以限制,使 Cookie 不能被 JavaScript 腳本訪問 |
Session
Session 是服務器用來跟蹤用戶的一種手段,使用上比Cookie簡單一些,相應的也增長了服務器的存儲壓力。每一個 Session 都有一個惟一標識:Session ID。當服務器建立了一個 Session 時,給客戶端發送的響應報文包含了 Set-Cookie 字段,其中有一個名爲 sid 的鍵值對,這個鍵值對就是 Session ID。客戶端收到後就把 Cookie 保存在瀏覽器中,而且以後發送的請求報文都包含 Session ID。markdown
當Cookie被禁用時,能夠跟在url的後面,或者以表單的形式提交到服務器端,從而使服務器端了解客戶端的狀態。cookie
二者比較
聯繫:session
Cookie與Session都是用來跟蹤瀏覽器用戶身份的會話方式。
區別:
- Cookie數據存放在客戶的瀏覽器上,Session數據放在服務器上。
- Cookie不是很安全,別人能夠分析存放在本地的Cookie並進行Cookie欺騙,若是主要考慮到安全應當使用加密的Cookie或者Session。
- Session會在必定時間內保存在服務器上。當訪問增多,會比較佔用你服務器的性能,若是主要考慮到減輕服務器性能方面,應當使用Cookie。
- 單個Cookie在客戶端的限制是4K,不少瀏覽器都限制一個站點最多保存20個Cookie。
