Session 和Cookie的区别

     引言

  最近听师哥师姐们在讲一些关于在ITOO中用到的技术，像I0C容器、CAS实现的单点登录等，在今天上午马上就就要

结束的时候，突然有一个师哥问道谁能解释解释 Session和Cookie、response和request等这几个的区别，为什么我

们在项目中总是提到Cookie等，因为自己在ASP.NET学习过这块内容，所以有点印象，但是只是知道Session是用在服

务端cookie是用到浏览器端的，其余的好像什么都想不起来了，所以在讲课结束以后自己有翻看了以前的笔记和查阅

了一些资料，下面在这篇博客中主要是谈谈session和cookie这两者的区别。

  

 【Cookie机制】

   具体来说cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制，他需要用户打开

客户端的cookie支持。cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力.

 

  当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或

是一些选择，都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有

的话，就会依据 Cookie里的内容来判断使用者，送出特定的网页内容给你。 Cookie 的使用很普遍，许多有提供个

人化服务的网站，都是利用 Cookie来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 

email 网站，都要用到 Cookie。

  

  cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。若不设置过期时

间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的

cookie被称为会话cookie。
  

  会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器

就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上

的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的

处理方式 。

  

    【Session机制】
  

   而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时我们也看到，由于采用服务器端保

持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。

而session提供了方便管理全局变量的方式。也就是一旦我们创建了一个session，它是不会随着我们浏览器的关闭而

消失，需要我们人为的手动的删除我们创建的session，这也时session的一个弊端——会占用我们较大的内存，从而

影响我们的性能。

  

  详细的来说就是：session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散

列表）来保存信息。当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否

已包含了一个session标识（称为session id），如果已包含则说明以前已经为此客户端创建过session，服务器就按

照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此

客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又

不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。保存这个session id的方

式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个cookie的名字

都是类似于SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session 

id传递回服务器。经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术

叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服

务器。实际上这种技术可以简单的用对action应用URL重写来代替

  【小结】

 1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

 2、因为session在一定的时间内会保存在服务器上。当访问增多，会影响服务取得性能，所以在考虑到服务器性能方面我们应该使用cookie。

 3、在安全方面sess比cookie更加强一些，cookie可以在通过分析放在本地的cookie进行cookie欺骗

 4、所以建议将用户的登录等重要信息放在session里面，其余的信息放在cookie里面

 5、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

 这些东西虽然都是一些比较常见的简单的基础知识，但是在我们做项目中还是很常用的，我们需要深入的了解他们

之间的区别，这在系统的性能方面有很大的影响，尤其是当我们的系统架在云端的时候，所以我们有必要深入的了解

一下。