对于经常进行网络编程的程序员来说,session与cookie是经常会碰到的,今天我们就来介绍一下。
我们都知道web服务器与客户端通信使用的是HTTP协议。HTTP协议是一个无状态的协议,每一次的http请求都是独立的,也是不持久的,通过HTTP协议无法判断两个请求是否来自于同一个用户。但是几乎所有带会员功能的网站都需要判断用户的身份,这个时候就要使用会话控制了。基本的原理就是在网站中跟踪一个变量,通过该变量来判断用户的身份,以及存取该用户的数据。
session和cookie就是实现会话控制的常用方法。我们都知道session是保存在服务器端,而cookie是保存在客户端的,那么二者之间有什么联系?又是如何实现会话控制的呢?
session与cookie实现会话控制的基本过程
session的会话控制是通过唯一的会话ID来实现的,这个ID一般保存在客户端cookie中。客户端只保存一个会话ID,并不保存与该ID相对应的用户的数据,用户的数据都是保存在服务器端session中的,用户的数据就是通过这个ID来标识和区分的。
会话控制的基本过程是这样的:在用户浏览网站的时候,服务器端会生成一个sessionID,并且将该ID保存到客户端cookie中;当用户再次访问该站点的时候,浏览器会在本地搜索与该站点相关的cookie,并将搜索到的cookie提交到服务器端;若服务器端接收到提交过来的cookie信息,则提取出其中的sessionID,并找到与这个ID相对应的用户的数据,否则创建新的session,进行存取操作。以上就是session和cookie会话控制的基本过程。
几点说明:
- 在服务器端给客户端的cookie发送sessionID之前,不能发送其他的标题头,否则会导致sessionID无法成功保存到客户端的cookie中。
- cookie的生命周期默认是会话级别的,浏览器关闭,cookie就清除。若想保存一个长效的cookie,那么就要给cookie设置一个过期时间,在这个过期时间之前,cookie都一直有效,即使关闭了浏览器,再次访问网站的时候cookie依然有效。
- session不会知道浏览器中的cookie是否被清除了,当浏览器中的cookie被清除之后,那么与该cookie对应session数据就是无用数据,所以需要给session设置一个合适的过期时间,以免过多的session数据占用服务器端的资源。
- cookie不仅仅是用来保存服务器端的sessionID的,cookie本身在客户端有许多用途,可以用来保存客户端的应用数据。
- session传递sessionID的方式有多种,cookie只是其中一种最常用的方式,而不是唯一方式。