cookie:存放在客户端/本地
- 浏览器/客户端发起请求
- 服务器响应:setCookie要求浏览器/客户端生成一个cookie
- 浏览器/客户端保存cookie,并在下次请求中在请求头中发送这个cookie
- 服务器识别这个浏览器发来的cookie,证明是同一用户
- 这个用户请求相同的服务器都会发送这一cookie重复3-5步,服务器端可以使用命令更改cookie的信息。在cookie中也可以设置cookie的有效期。
session:存放在服务器端
- 浏览器/客户端对服务器发起请求并把自身用户的信息及sessionID保存到cookie中一起发送到服务器端。
- 服务器端会根据请求中的要求主动或强制生成一个session,这个session中保存了一些简单的用户信息及生成的sessionID,这个信息必须是简洁的,因为如果这个信息很复杂的话,如果有很多的用户通过session机制访问服务器时可能会导致内存溢出。
- 在session中保存了一个叫做最后访问时间的参数:
LoginTime,每次同一用户发送请求时都会更新这个参数在session中保存了一个叫做最后访问时间的参数:LoginTime,每次同一用户发送请求时都会更新这个参数
验证用户是否登录的逻辑:
1)用户密码登录时,在后台的req中记住session.
2)如果用户保存登录密码,则记住cookie,否则把当前用户的cookie设置为空;
3)每次用户需要向后台进行请求时,进行状态检验:
session是否存在?若存在,则继续进行请求操作,并将session的有效时间重新设置一次;
若不存在,则判断cookie是否存在?若存在,使用该cookie完成自动登录,即完成了一次1);
若不存在,则页面重定向到登录页面。
cookie 是钥匙,session 是锁,钥匙放在浏览器,拿玥匙开锁,设置cookie 是在response header里面设置的
session机制的特点:
- session是以文本形式存储在服务器中,这样就不会怕客户端/浏览器修改session。
- session具有生命周期,可以在session中设置,每次浏览器发送session时,都会设置一个最后登录时间。
- session是轻量级的,不会占用太多的资源。包括:sessionID,session的生命周期(session的活动时间+session不活动的时间),session的最后登录时间。
- Session对象内部有一个缓存
session对象的属性
name:cookie名称
value:cookie值
domain:可以访问cookie的域名,某一级域名可以访问上一级级域名的cookie
expires/Max-Age:过期时间
Size:cookie的大小
http:httponly属性,为true,不能用document.cookie获得
secure:为true只能在https获得
path:子路径访问父路径cookie
学习链接:
理解cookie session机制
cookie,session,实现服务器记忆用户登录状态功能
让服务器端记住登录状态,介绍两种常见的登录状态记录方式
cookie session有什么区别
几种登陆保持的方法