cookie和session的区别

Cookie和Session是为了在无状态的HTTP协议之上维护会话状态，使得服务器可以知道当前是和哪个客户在打交道。本文来详细讨论Cookie和Session的实现机制，以及其中涉及的安全问题。

因为HTTP协议是无状态的，即每次用户请求到达服务器时，HTTP服务器并不知道这个用户是谁、是否登录过等。现在的服务器之所以知道我们是否已经登录，是因为服务器在登录时设置了浏览器的Cookie。Session则是借由Cookie而实现的更高层的服务器与浏览器之间的会话。

cookie的实现机制
1.浏览器向某个url发起http请求(httprequest)。（get,post等等）
2.url所指向的服务器收到浏览器发散送的http请求，并计算需要返回给浏览器的http响应(httpresponse)。http响应通常包括请求头和请求体两部分。
3.在响应头加入set-cookie字段，既是浏览器所需要设置的cookie。cookie规定中指出UserAgent（浏览器就是一种用户代理）至少应支持300项Cookie， 每项至少应支持到4096字节（4k），每个域名至少支持20项Cookie。
4.浏览器收到来自服务器的http响应。
5.浏览器在响应头中发现set-cookie字段，并把它存入内存或者硬盘中，即是客户端本地，set-cookie字段可以是很多项cookie（最高20个），每一个都可以指定过期时间，默认时间是用户浏览器关闭的时候。
6.浏览器下次发送http请求给服务器时,会加上服务器设置好的cookie字段。
浏览器可以存储多个域名下的设置的cookie，但是访问某个指定域名时，只会在http请求中加上该域名下的cookie。
7.服务器收到的这个http请求头中有cookie字段，便知道之前和这个客户端打过交道。
8.过期的cookie会被浏览器所删除。

总之，服务器通过Set-Cookie响应头字段来指示浏览器保存Cookie， 浏览器通过Cookie请求头字段来告诉服务器之前的状态。 Cookie中包含若干个键值对，每个键值对可以设置过期时间

session的实现机制

session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

1.当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识（称为session id），如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。
2.保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。
3.经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。

cookie和session的区别
1.cookie是存放在客户端本地的，而session是存放在服务器上面。
2.cookie有大小限制，每个最大4k，每个域名下最多20个cookie;session因为存放在服务器内存中，所以session放多了会影响服务器性能。
3.cookie不安全，可以发送HTTP请求的不只是浏览器，很多HTTP客户端软件（包括curl、Node.js）都可以发送任意的HTTP请求，可以设置任何头字段。 假如我们直接设置Cookie字段为authed=true并发送该HTTP请求， 服务器岂不是被欺骗了？这种攻击非常容易，Cookie是可以被篡改的。而seesion更为安全。

最后实战中：可以把登录密码账户等重要信息放在session中而一些其它不重要却又需要保存的信息可以放在cookie中。

小结：cookie和session是web应用中很基本的概念，但是看书理解不深入就翻了很多博客看，总结了下，写下了这篇文章，一是沉淀知识，二也是为了方便以后查看。