资讯专栏INFORMATION COLUMN

cookie与session详解

SwordFly / 3132人阅读

摘要:所谓的无连接就是服务器收到了客户端的请求之后,响应完成并收到客户端的应答之后,即断开连接。从而节省传输时间。协议对事务的处理没有记忆能力。这种方式某种方面上讲解放了服务器,但是却不利于客户端与服务器的连接。

session与cookie是什么?

session与cookie属于一种会话控制技术.常用在身份识别,登录验证,数据传输等.举个例子,就像我们去超市买东西结账的时候,我们要拿出我们的会员卡才会获取优惠.这时候,我们怎么识别这个会员卡真实有效的呢?当我们将会员号给到收银员,收银员根据我们提供的会员号,输入到系统中,系统根据这个会员号去查询,如果查询到了就证明这个会员号是真实存在的.这里的会员号就好比cookie与session.会员系统就好比服务器端,收银员就好比客户端.

为什么会用到session与cookie呢?

根据上述的例子,我们知道session与cookie是可以干什么的了,那为什么必须用这个来实现呢?这里就有必要了解一下http应用传输协议的特点了。由于http协议是无状态的,即浏览器去请求了一个网页,这时候就是一个http请求,当服务端接收到请求之后,返回客户端需要的数据,在这过程中浏览器与服务器是建立了一个连接的。但是当服务端返回数据,客户端收到数据之后,他们的这种连接关系就断开了。下次浏览器再去发送请求的时候,又是重新建立一个连接,这两个链接没有任何关系。试想一下,当我们登录一个商场系统的时候,进入首页做了登录操作,但是我们下单或者加入购物车的时候,还需要登录,每访问一个页面就要登录,是不是很繁琐同时也是很不科学的,万一我们加入购物车的商品,我们点击下单了,下单页面要登录而且还无法正确的反馈出你下单时的那些商品.

Http特点

1.http协议支持客户端/服务端模式,也是一种请求/响应模式的协议。
2.无连接。所谓的无连接就是服务器收到了客户端的请求之后,响应完成并收到客户端的应答之后,即断开连接。限制每次的连接只处理一次请求。从而节省传输时间。
3.无状态。http协议对事务的处理没有记忆能力。也就意味着如果需要前面的信息,只能重传,这无形之中增加数据的传输量。这种方式某种方面上讲解放了服务器,但是却不利于客户端与服务器的连接。为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session,后面我们再细讲它们。
4.简单快捷:所谓的简单快捷是指客户端向服务器请求服务时,一般来说只需要传输请求方法和路径,就能进行访问
5.灵活:这里主要指的是客户端可以通过http协议传输任意类型的数据。比如传输.jpg文件、.ppt文件等等,只需要设定content-type就可以进行传输。

Cookie
cookie的基本概念

cookie是远程浏览器存储数据以此追踪用户和识别用户的的机制,从实现来说,cookie是存储在客户端上的一个数据片段。

cookie的运行原理与存储机制

.运行原理
1.客户端向服务端发起一个http请求.
2.服务端设置一个创建cookie的指令,响应给客户端.
3.客户端收到服务端响应的指令,根据指令在客户端创建一个cookie.
4.挡下一次请求时,客户端携带这个cookie向服务端发送请求.
.存储机制
总的来说,cookie在客户端存储的形式有三种,不同的浏览器的存储机制不同,存的cookie也不同.
1.文件存储.浏览器会针对不同的域,在磁盘的对应目录创建一个多带带的文件,来存储该域下面的cookie值.
2.内存存储.当浏览器关闭时,该cookie随之消失.根据下面的创建语法,当我们未设置过期时间时则会出现这种情况.
3.flash存储.这种存储方式是永久存储在磁盘中,即使通过浏览器删除一些数据都是无法删除该方式存储的cookie,如果需要删除,可能通过磁盘的方式.

cookie的设置
Bool setcookie(string $name[, string $values, $expire=0[,string $path[,string $domain[, bool $secure = false[, bool $httpOnly = false]]]]] );
$name:cookie存储的名称,必填选项.
$values:cookie存储的值。这里需要注意的是,当把该值设置为false时,客户端会尝试删除这个cookie值,因此在要将值这是为true或者false的时候,我们用另外的值来代替,例如true用1代替,false用0来代替.
$expire:cookie的过期时间,秒为单位,当该值被设置时,定时删除;当该值没有设置时,该值是永久有效的.该值设置为小于当前时间时,会出发浏览器的删除机制,会自动删除cookie.
$path:cookie有效的目录,默认的目录是"/",即表示当前的正个域名都生效.
$domain:cookie的作用域名,默认的是当前域名有效,如果需要设置直接填写生效的域名即可.需要注意的是IE浏览器有长度限制,当只有大于5的时候才会生效.
$secure:cookie的加密处理,当设置为true的时候,需要使用HTTPS协议,才会生效.
$httpOnly:决定cookie是否只使用http协议,当设置为1或者true,其他非http协议是无法操作cookie的。例如我们未设置的时候,我们JavaScript是可以对cookie进行设置的.这样一定程度上保证了安全性.这种情况需考虑浏览器是否支持该配置项.

. 设置cookie的函数还有setrawcookie()函数,只不过该函数不会对值 进行urlencode序列号.
.有时候,我们可能遇到这种情况,我们在这个页面设置了cookie,但是去刷新页面获取cookie,按理说是会获取到cookie的,但实际情况是无法获取到,这是由于cookie运行机制导致,PHP创建了cookie这个指令,告诉浏览器,你需要执行这个指令了,这时候浏览器才会去执行这个指令,因此是无法获取到cookie的.
. 在设置cookie之前,不能有任何输出.

// 实现方式一
setcookie($cookie,"hello,world!", 3600);
// 实现方式二
header("header("Set-Cookie: testcookie=中文; path=/; domain=.sunphp.org; expires=".gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+9600));");
// 两则的作用是一样的,setcookie是PHP内置函数,是对http协议的操作封装。
cookie的获取
$_COOKIE["$cookeName"];
cookie的应用

. 用户身份识别
. 数据传输
. 登录控制(是否登录、单点登录)

cookie跨域设置

我们都知道,在前端开发中时常会遇到ajax跨域问题,我们解决的方式有很多种,可以参考这篇文章传送门1,传送门2,cookie跨域我们可以参考p3p传输协议传送门

cookie使用的注意事项

.数量限制,客户端对每一个domian下的cookie是有数量限制的,不是创建任意数量就行.
.安全性,根据上面的创建语法,我们可以得知,当我们未设置$httpOnly值得时候,非http协议是可以操作cookie的值的,例如JavaScript通过cookie($cookieName).而且一些抓包工具也是可以抓取到cookie的,还有就是cookie存储在客户端的文件中,如果获取到这个cookie,也是可以对cookie做一些操作的.为了防止别人可以拷贝cookie文件,进行恶意操作,可以对cookie进行加密处理.
数据传输:当cookie数量很多,数据很大的时候,其实对于带宽是有消耗的.比较http传输都需要带宽,当http传输的数据量大了,带了的带宽消耗就大.

Session
运行原理与存储机制

. 运行原理
1.客户端向服务端发起请求,建立通信
2.服务端根据设置的session创建指令,在服务端创建一个编号为sessionid的文件,里面的值就是session具体的值(组成部分 变量名 | 类型 :长度:值).
3.服务端将创建好的sessionid编号响应给客户端,客户则将该编号存在cookie中(一般我们在浏览器存储的调试栏中会发现cookie中有一个PHPSESSID的键,这就是sessionid,当然这个名称,我可以通过设置服务端是可以改变的).
.当下一次请求时,客户端将这个sessionid携带在请求中,发送给服务端,服务端根据这个sessionid来做一些业务判断.

.存储机制
1.存储方式.session默认是文件存储的.我们可以通过php.ini的配置来设置存储驱动传送门
2.生命周期.当我们未设置session的生命周期时,当浏览器关闭之后存储在客户端的phpsessid自动消失,因为它是存在内存,下次建立连接的时候会重新创建一个phpsessid.之前的session,PHP会自动的根据垃圾回收机制自动删除.这里我们可以根据session_set_cookie_params($expire)函数来设置一个生命周期;

session的设置
session_start();
$_SESSION = $values;

. session_start()设置之前,不能有任何输出

session的获取
$_SESSION["values"];
session的使用场景

. 用户身份识别
. 数据传输
. 登录控制(是否登录、单点登录)

session的注意事项

.安全性,sessionid是按照一定的算法生成,要保证session的值唯一性和随机性.
.客户端禁用cookie,根据上面session的运行原理可以得出,session的存储于传送还是依赖于客户端,因此当客户端禁用cookie时,客户端是无法保存PHPSESSID的,这时候可以通过url重写或者表单来实现session的传输.
.存储优化,按照上面的session创建,所有的session都会创建在一个目录下面,同时有的无效session在垃圾回收机制时间内还不会删除,当一台服务器配置的站点较多时,这时候会生成很多的session文件,导致我们读取速度变慢,我们可以设置session的存储目录级别,save_path函数.一般大型的项目(如分布式的项目),可以使用其他的存储方式,如数据存储,内存存储.

session与cookie的区别

. session存储在服务端,cookie存储在客户端.
.cookie的创建指令由服务端设置.
.session的sessionid需要客户端存储.

cookie与session的几个误区

.客户端禁止cookie,session无法使用?

使用url重写或者表单提交可以实现.

.session和cookie的安全性比较,session存在客户端安全更高?

由于cookie是存在客户端的,相对来说安全性是要低一些,不过在创建的时候可以设置$httpOnly值.
由于cookie与session是相互关联的,获取到cookie一定程度上获取到了session,同样可以操作session.

.cookie与session是不是在浏览器关闭的时候会消失?

这需要查看存储机制了。cookie可以存文件,内存,flash.存内存当然浏览器关闭则消失了;session由于垃圾回收机制,当在垃圾回收机制内是不会删除的,除非你代码中显示的做了删除操作.

.cookie是存储在客户端中,如何增加其安全性?

我们可以在设置cookie的时候,增加一些特殊参数,如客户端信息ip、浏览器信息等.

.当cookie存在客户端的文件中,是不是每个浏览器获取到这个文件都可以进行操作?

要看浏览器之间对cookie的管理机制是不是一样.

原文转自

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/29782.html

相关文章

  • Cookiesession详解

    摘要:协议是无状态的,一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换建立新的连接,也就是说,服务器无法跟踪会话。而和就是用与解决这种问题。值得一提的是是建立在的基础上创建的。注意在的文件中,设置了的生命周期最长为分钟。 在将cookie 和 session 之前需要先理解什么是会话会话: 用户打开一个浏览器,点击多个超链接,访问多个web资源,然后关闭浏览器,整个过程称为一个...

    wow_worktile 评论0 收藏0
  • cookiesession的使用(详解

    摘要:什么是用来存储客户端的一小段文本是一门客户端的技术因为是存储在客户端浏览器中的是为了实现客户端与服务器端之间的状态的保持技术,不安全,不要使用存储敏感信息比如登录状态和登录信息一些敏感的数据应该存储在服务器端的值从哪里来的当你访问一个网站这 什么是cookie, 用来存储客户端的一小段文本是一门客户端的技术 因为cookie是存储在客户端浏览器中的是为了实现 客户端与服务器端之间的状态...

    liujs 评论0 收藏0
  • 详解 CookieSession 关系和区别

    摘要:目前大多数的应用都是用实现跟踪的。的安全性一般,他人可通过分析存放在本地的并进行欺骗。在安全性第一的前提下,选择更优。考虑到减轻服务器性能方面,应当适时使用。因此,维持一个会话的核心就是客户端的唯一标识,即。 showImg(https://segmentfault.com/img/bV8riL?w=800&h=444); 在技术面试中,经常被问到说说Cookie和Session的区别...

    microelec 评论0 收藏0
  • CookieSession详解

    摘要:例如要想在多个二级域名中共享,需要设置为顶级域名,这样就可以在所有二级域名里面或者到这个的值了。顶级域名只能获取到设置为顶级域名的,设置为其他子级域名的无法获取。 Cookie和Session详解 Cookie Cookie只存储在客服端 Cookie是什么:Cookies是web服务器存放在用户硬盘的一段文本,Cookies允许一个wen站点在用户的机器存放一些文本的信息,并可以在以...

    Little_XM 评论0 收藏0
  • 详解 CookieSession,Token

    摘要:由于是存在客户端上的,所以浏览器加入了一些限制确保不会被恶意使用,同时不会占据太多磁盘空间。签名是对前两部分的签名,防止数据被篡改。的作用最开始的初衷是为了实现授权和身份认证作用的,可以实现无状态,分布式的应用授权。 前言 无状态的HTTP协议 很久很久之前, Web基本都是文档的浏览而已。既然是浏览, 作为服务器, 不需要记录在某一段时间里都浏览了什么文档, 每次请求都是一个新的HT...

    Allen 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<