什么是Cookie、Session及使用时考虑的问题

2023-01-18 20:08:47

Cookie

Cookie存储在客户端,是由服务器发送到浏览器并保存在本地的数据。当浏览器再次发送请求时被携带到服务器。有单独域名,不同级域名间可共享。
在这里插入图片描述

Session

存储于服务端,基于Cookie实现的一种记录服务器和客户端会话状态的机制。SessionId则返给浏览器并存储在Cookie中

在这里插入图片描述

Cookie 和 Session 的区别

  • 安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
  • 存取值的类型不同: Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
  • 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
  • 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

使用 cookie 时需要考虑的问题

  • 容易被客户端篡改,使用前需要验证合法性 不要存储敏感数据,比如用户密码,账户余额 使用 httpOnly
  • 能存储的数据量不能超过 4kb 减少数据传输 cookie 无法跨域 一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放 300个Cookie 。

使用 session 时需要考虑的问题

  • 当用户同时在线量比较多时 session 会占据较多的内存,需要在服务端定期的去清理过期的session
  • 当网站采用集群部署的时候,会遇到多台 web 服务器之间如何做 session 共享的问题。因为 session是由单个服务器创建的,但是处理用户请求的服务器不一定是那个创建 session 的服务器,那么该服务器就无法拿到之前已经放入到 session 中的登录凭证之类的信息了。
  • 当多个应用要共享 session 时不同的应用可能部署的主机不一样,需要在各个应用做好 cookie跨域的处理。
  • 当浏览器禁止 cookie 或不支持 cookie 时, 一般会把
    sessionId 跟在 url 参数后面即重写 url,所以 session 不一定非得需要靠 cookie ,移动端常用的是 token
  • 作者:qq_40279560
  • 原文链接:https://blog.csdn.net/qq_40279560/article/details/107795382
    更新时间:2023-01-18 20:08:47