Cookie
Cookie存储在客户端,是由服务器发送到浏览器并保存在本地的数据。当浏览器再次发送请求时被携带到服务器。有单独域名,不同级域名间可共享。
Session
存储于服务端,基于Cookie实现的一种记录服务器和客户端会话状态的机制。SessionId则返给浏览器并存储在Cookie中
Cookie 和 Session 的区别
- 安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
- 存取值的类型不同: Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
- 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
- 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。
使用 cookie 时需要考虑的问题
- 容易被客户端篡改,使用前需要验证合法性 不要存储敏感数据,比如用户密码,账户余额 使用 httpOnly
- 能存储的数据量不能超过 4kb 减少数据传输 cookie 无法跨域 一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放 300个Cookie 。
使用 session 时需要考虑的问题
- 当用户同时在线量比较多时 session 会占据较多的内存,需要在服务端定期的去清理过期的session
- 当网站采用集群部署的时候,会遇到多台 web 服务器之间如何做 session 共享的问题。因为 session是由单个服务器创建的,但是处理用户请求的服务器不一定是那个创建 session 的服务器,那么该服务器就无法拿到之前已经放入到 session 中的登录凭证之类的信息了。
- 当多个应用要共享 session 时不同的应用可能部署的主机不一样,需要在各个应用做好 cookie跨域的处理。
- 当浏览器禁止 cookie 或不支持 cookie 时, 一般会把
sessionId 跟在 url 参数后面即重写 url,所以 session 不一定非得需要靠 cookie ,移动端常用的是 token