cookie、session、sessionid 與jsessionid,要想明白他們之間的關係,下面來看個有趣的場景來幫你理解。程序員
咱們都知道銀行,銀行的收櫃檯天天要接待客戶存款/取款業務,能夠有幾種方案:web
憑藉櫃檯職員的記憶,由收櫃檯職員來爲每位顧客辦理存款/取款業務,單憑職員的記憶力,要記到每位顧客的相貌,並迅速這個顧客當前的存款以及存取的次數,每次存取的金額是多少。-----------這種方式表示協議自己支持狀態。瀏覽器
使用存摺的方式,而後櫃檯職員就把每一個顧客的存款/取款的信息保存在這張摺子,而後交給顧客保管,當顧客來存款/取款時,只要拿出存摺,職員查看存摺就對當前這位顧客的存款/取款信息一目瞭然。固然,你立刻會想到,顧客修改這個信息怎麼辦?咱們也有措施對每次存款/取款記錄後面蓋章。無蓋章的就是假冒信息。但若是顧客是真的要僞造,固然印章也是能夠僞造的。-------------這種方式就是在客戶端端保持狀態。tomcat
使用銀行卡的方式,發給每位銀行用戶一張銀行卡,銀行卡上有一個惟一的卡號,沒有其它任何信息,當顧客來存款/取款時,拿出銀行卡,銀行把卡號輸入的電腦,很快就顯示當前用戶的存/取款記錄。這種方式的安全性就會有很大的提升。用戶想要手腳只有攻破銀行的服務器來修改本身的存/取款信息,這樣作難度會很大。---------這種方式就是服務器端保持狀態。安全
Cookie 與session的產生過程 服務器
咱們都知道HTTP協議自己是無狀態的,客戶只須要簡單的向服務器來發送請求下載某些文件,客戶端向服務器端發送的每次請求都是獨立的。對於當前的web應用,HTTP的「無狀態」,致使許多應用都不得不花費大量的精力來記錄用戶的操做步驟。就像咱們上面介紹的第一種狀況,銀行職員要花費大量的精力來記憶每一位用戶的存/取款記錄。cookie
程序員很快發現,若是可以提供一些按需生成的動太信息,會使web的交互能力大大加強。程序員一方面在HTML中添加表單、腳本、DOM等客戶端行爲,來增長web應用與客戶端的交互性。另外一方面在服務器端測出現了CGI規範以響應客戶端的動態請求,做爲傳輸載體的HTTP協議添加了文件上載、cookie 等特性。那cookie的原理與咱們上面介紹的使用存摺記錄用戶應爲的方式是同樣同樣的。session
經過前面的例子咱們已經發現,經過cookie的方式存儲信息,可能會存在一點定的安全性,由於全部的信息都是寫在客戶端的,客戶可能會對這些信息進行修改或清除。而後就又出現session的方式用於保存用戶行爲,這種方式的原理與前面介紹銀行卡的方式是同樣的。blog
具體來講cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在服務器端保持狀態的方案。同時咱們也看到,因爲採用服務器端保持狀態的方案在客戶端也須要保存一個標識,因此session機制可能須要藉助於cookie機制來達到保存標識的目的,但實際上它還有其餘選擇。進程
cookie與session的機制與原理
cookie機制。正統的cookie分發是經過擴展HTTP協議來實現的,服務器經過在HTTP的響應頭中加上一行特殊的指示以提示瀏覽器按照指示生成相應的cookie。然而純粹的客戶端腳本如JavaScript或者VBScript也能夠生成cookie。而cookie的使用是由瀏覽器按照必定的原則在後臺自動發送給服務器的。瀏覽器檢查全部存儲的cookie,若是某個cookie所聲明的做用範圍大於等於將要請求的資源所在的位置,則把該cookie附在請求資源的HTTP請求頭上發送給服務器。
cookie的內容主要包括:名字,值,過時時間,路徑和域。路徑與域一塊兒構成cookie的做用範圍。若不設置過時時間,則表示這個cookie的生命期爲瀏覽器會話期間,關閉瀏覽器窗口,cookie就消失。這種生命期爲瀏覽器會話期的cookie被稱爲會話cookie。會話cookie通常不存儲在硬盤上而是保存在內存裏,固然這種行爲並非規範規定的。若設置了過時時間,瀏覽器就會把cookie保存到硬盤上,關閉後再次打開瀏覽器,這些cookie仍然有效直到超過設定的過時時間。存儲在硬盤上的cookie能夠在不一樣的瀏覽器進程間共享,好比兩個IE窗口。而對於保存在內存裏的cookie,不一樣的瀏覽器有不一樣的處理方式。
session機制。session機制是一種服務器端的機制,服務器使用一種相似於散列表的結構(也可能就是使用散列表)來保存信息。
當程序須要爲某個客戶端的請求建立一個session時,服務器首先檢查這個客戶端的請求裏是否已包含了一個session標識------------稱爲session id,若是已包含則說明之前已經爲此客戶端建立過session,服務器就按照session id把這個session檢索出來使用(檢索不到,會新建一個),若是客戶端請求不包含session id,則爲此客戶端建立一個session而且生成一個與此session相關聯的session id,session id的值應該是一個既不會重複,又不容易被找到規律以仿造的字符串,這個session id將被在本次響應中返回給客戶端保存。
保存這個session id的方式能夠採用cookie,這樣在交互過程當中瀏覽器能夠自動的按照規則把這個標識發揮給服務器。通常這個cookie的名字都是相似於SEEESIONID。但cookie能夠被人爲的禁止,則必須有其餘機制以便在cookie被禁止時仍然可以把session id傳遞迴服務器。
常常被使用的一種技術叫作URL重寫,就是把session id直接附加在URL路徑的後面。還有一種技術叫作表單隱藏字段。就是服務器會自動修改表單,添加一個隱藏字段,以便在表單提交時可以把session id傳遞迴服務器。
Jsessionid?
Jsessionid只是tomcat的對sessionid的叫法,其實就是sessionid;在其它的容器也許就不叫jsessionid了。
-------------------最新更新--------
Terry_Huang 回覆:
給你舉個更生動的例子,之前大學的時候,常常去大卡司去喝奶茶,每喝一杯,均可以獲得一個印花(第一次喝的時候他會給你個積分卡片),集齊6個印花以後,就能夠免費得到一杯奶茶。這樣子,印花的信息是保存在客戶的積分卡上,你若是不懷好意的話,就本身搞幾個神似的印花去騙奶茶喝吧。哈哈,這樣子是否是更符合在客戶端端保持狀態。而拿銀行卡去銀行取錢,咱們的卡只須要保存一個卡號,更多的信息是保存在服務器中,這樣也比較符合服務器端保持狀態。但願能幫到你。
多是個人描述不夠貼切,積分卡和存摺是相似的,用戶的存取信息是保存在存摺上的,存摺又是在客戶手裏(客戶端)可能如今不多有人用存摺了,或存摺已經被銀行取消掉了。