session是什么?它与cookie有什么关系?

session是什么?

Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力

session和cookie一样,都是用来记录web服务器和客户端通信状态的机制,session和cookie不同的是,session是保存在服务器上的,session会在用户第一次访问服务器时建立,它相当于一个放在服务器上的用户的“备份档案”,一般与cookie一起使用。

session机制

每次我们访问一个页面,如果有开启session,就会自动生成一个session_id 来标注是这次会话的唯一ID,同时也会自动往cookie里写入一个名字为PHPSESSID的变量,它的值正是session_id,当这次会话没结束,再次访问的时候,服务器会去读取这个PHPSESSID的cookie是否有值有没过期,如果能够读取到,则继续用这个session_id,如果没有,就会新生成一个session_id,同时生成PHPSESSID这个cookie。由于默认生成的这个PHPSESSID cookie是会话,也就是说关闭浏览器就会过期掉,所以,下次重新浏览时,会重新生成一个session_id。

为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。

在客户端第一次访问web服务器时,如果开启了session服务,服务器就会生成一个session_id作为用户的唯一标识,然后将session_id发送给cookie。session_id是一串无规律且唯一的字符串,每个用户都会生成一个标识。

当用户再次访问服务器且会话未结束时,服务器只需要从该Session中查找该客户的状态就可以了。

session和cookie

虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。

当允许浏览器使用cookie的时候,session就会依赖于cookies,当浏览器不支持cookie后,就可以通过第二种方式获取session内存中的数据资源。

session是保存在服务器上的,但由于http协议是无状态的,服务器不能借助session来辨别用户的身份,所以服务器需要注入一个叫sessionID的变量给cookie,然后客户端会带着这个ID去请求服务器,服务器会在内存中查找用户的session,来快速识别用户的状态。

当会话断开后,sessionID就会过期,直到再次建立会话后重新生成,这是因为session是保存在服务器的内存中的,为了降低服务器的压力,session的生存周期一般比cookie短。

session是什么?它与cookie有什么关系?_第1张图片

session和URL重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写。

你可能感兴趣的:(网络安全,网络安全,web)