详解SESSION与COOKIE的区别

什么是状态管理？

       指对同一页或不同页的多个请求维护状态和页信息的过程 

为什么要进行状态管理？

       Web页是无状态的，不保存任何用户请求信息，而且到服务器的每一往返过程都将销毁并重新创建页，所以超出单个页的生命周期之后，页信息将不存在。 

状态管理的作用

指示用户信息

使得页与页之间、请求与请求之间能够共享信息

更为快速的数据存储和读取

• 从一个客户到达某个网页开始，到其离开该网页为止的这段时间内，服务器会为该用户分配一个Session，以保存该用户会话时所需要的信息
• 当用户在页面之间切换时，存储在Session对象中的变量不会被清除，当客户访问网页时，这些变量会一直存在
• Session状态使用的范围：使用同一个客户端（浏览器实例）访问同一个应用程序的所有页面。
• 虽然Session的大小没有限制，但是我们千万不能滥用Session。推荐在Session中存储少于100K的数据。
• Session是在用户第一次访问网站的时候创建的，那么Session是什么时候销毁的呢？

1.     默认情况下，Session的超时时间（Timeout）是20分钟，用户保持连续20分钟不访问网站，则Session被收回，如果在这20分钟内用户又访问了一次页面，那么20分钟重新计时

cookie定义：

Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）.当你在浏览网站的时候，Web服务器会先送一小小资料放在你的计算机上，Cookies 会帮你在网站上所打的文字或是一些选择都记录下来。当下次你再访问同一个网站，Web服务器会先看看有没有它上次留下的Cookies资料，有的话，就会依据Cookie里的内容来判断使用者，送出特定的网页内容给你。

作用：

服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

• Cookie可分为两类：会话Cookie和持久性Cookie。
• 在浏览器的处理过程中保留的Cookie称为会话Cookie，这种Cookie是暂时性的，当关闭浏览器后，任何会话Cookie都会丢失。持久性Cookie可以保存几个月甚至几年。
• 每个 Cookie 必须有一个唯一的名称，以便以后从浏览器读取 Cookie 时可以识别它。由于 Cookie 按名称存储，因此用相同的名称命名两个 Cookie 会导致其中一个 Cookie 被覆盖。
• 一小段保存在客户端的数据，位于<Windows安装盘>:\Documents and Settings\<用户名>\Cookies
• 用户每次访问网站页面的时候，浏览器会根据网站的URL在本地Cookies文件夹内查找是否存在当前网站关联的Cookie，如有就连同页面请求一起发送到服务器
• 大多数浏览器规定Cookie大小不超过4K，每个站点能保存的Cookie不超过20个，所有站点的Cookie总数不超过300个；
• 只能存储字符串；
• 安全性差，不要保存保密信息，如用户名、密码、信用卡号等。建议敏感数据（如验证码）加密后存储。

   cookie的作用是为了弥补HTTP协议无状态的缺陷所作的努力.而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制往往需要借助于cookie机制来达到保存标识的目的。session提供了方便管理全局变量的方式，session是针对每一个用户的，变量的值存储在服务器上，用一个sessionID来区分是哪个用户session变量,这个值是通过用户的浏览器在访问的时候返回给服务器，当客户禁用cookie时，这个值可能通过URL重写技术来返回给服务器。

    正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。从网络服务器观点看所有HTTP请求都独立于先前请求。就是说每一个HTTP响应完全依赖于相应请求中包含的信息。状态管理机制克服了HTTP的一些限制并允许网络客户端及服务器端维护请求间的关系。在这种关系维持的期间叫做session。
    Cookies是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器。session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构来保存信息。

    当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id，如果已包含一个session id,则说明以前已经为此客户端创建过session，服务器就按照session id把这个 session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 session id将被在本次响应中返回给客户端保存。

    在谈论session机制的时候，常常听到这样一种误解“只要关闭浏览器，session就消失了”。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留，程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭，之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个 session id就消失了，再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session。
    恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。

    http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的JSESSIONID，我们通常情是看不到JSESSIONID的，但是当我们把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
    明白了原理，我们就可以很容易的分辨出persistent cookies和session cookie的区别了，网上那些关于两者安全性的讨论也就一目了然了，session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，自然不如session cookie安全了。
   通常session cookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的sessionid，这样我们信息共享的目的就达不到了，此时我们可以先把sessionid保存在persistent cookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking（会话跟踪）。