1.0 为什么需要session和cookie?
当用户在发送一个请求关得到返回信息之后,客户端与服务器端之间的网络连接就已经断开了,在下一个请求发送时,服务器无法确定这次请求和上次的请求是否来自同一个客户端。也就是说,服务器不能记住"记住"用户,这是hptp协议的限制。在web应用程序中,实际上是经常需要记住每次请求的。那么,如何让服务器知道不同的请求是否来自同一个客户端,就是状态管理问题出现了session和cookie。(简单说:就是因为http的无状态性,无法保存用户的信息,所以需要一些状态保存机制保存用户的信息)
2.0 那什么是cookie?什么是session?
cookie:中文名小型文字档案或小甜饼,指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2019.为网景公司的前雇员Lou Montulli 在1993年3月所发明。(摘自维基百科)
session:session也是用来存信息的,它存在服务器端,在初次设置session的时候,会在session池中实例化一个session对象,并以asp.net_sessionid的值作为key,同时会将key以cookie的形式存到客户端的内存中。通过asp.net_sessionid来取session的值。
3.0 关于cookie和session的部分用法
3.1 cookie:
3.1.1 实例化cookie对象:
HttpCookie cookie = new HttpCookie("uid", uid);
3.1.2 告诉浏览器只有请求指定了路径下的页面 才将cookie发送给服务器,如果未指定默认就是 /
cookie.Path = "/P01cookiedemo/";
3.1.3 设置了Expires 参数则表示告诉浏览器将cookie存入硬盘中
cookie.Expires = DateTime.Now.AddDays(3);
3.1.4 设置了Domain,告诉浏览器只有请求www.c11.com 域名下的页面才将cookie发送给服务器
cookie.Domain = www.c11.com;
3.1.5 将cookie添加到响应报文头中发送回浏览器保存
Response.Cookies.Add(cookie);
3.1.6 获取浏览器通过请求报文头 发送给服务器的cookie 值的 写法,uid:为cookie的键,可以由程序员自己定义
if(Request.Cookies["uid"]!=null) { Request.Cookies["uid"].Value; }
3.2 Session
3.2.1 在web.config中的 <system.web> 节点下添加以下代码 手动修改session的相关设置
<sessionState timeout="5" cookieless="true"></sessionState>
3.2.2 注意:
aspx编译完成以后会自动实现接口IRequiresSessionState,所以能够直接使用session,但是一般处理程序,需要程序员自己实现接口IRequiresSessionState ,才能够使用session对象。
4.0 session和cookie的区别
4.1.1 cookie数据存放在客户的浏览器上,session数据放在服务器上。
4.1.2 cookie不是很安全(虽然经过加密),他人可以分析存放在本地的cookie并进行cookie欺骗 考虑到安全应用当使用session。
4.1.3 session 会在一定时间内保存在服务器上。当访问增多,会比较占用服务器的性能。考虑到减轻服务器性能方面,应当使用cookie。
4.1.4 单个cookie保存的数据不能4k ,很多浏览器都限制一个站点最多保存20个cookie
5.0 cookie和session 作用
cookie用来保存一些不太重要的信息
session用来保存用户的账号密码之类的重要信息