好文推荐:http://blog.csdn.net/fangaoxin/article/details/6952954(Cookie/Session机制详解 )
Cookie的属性
name :cookie名称,一旦创建,不可改变
value :cookie值
maxAge:cookie失效时间,单位:秒。正数:该cookie在maxAge秒后失效,负数:为临时cookie,关闭浏览器即失效。0:删除该cookie.默认为-1.
secure:该cookie是否仅被使用安全协议传输。默认为false.
path:该cookie的使用路径。
domain:可以访问该cookie的域名。如果设置为“.google.com”,则所有以"google.com"结尾的域名都可以访问该cookie.
comment:该cookie的用处说明。
使用cookie的状态管理
---HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。
---假设要求登录认证的WEB页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。不可否认,无状态协议有它的优点,因为不必保存状态,自然可以减少服务器的CPU及内存资源的消耗。也正是因为HTTP协议本身是非常简单的,所以才会被应用到各个场景里。
---保留无状态协议这个特征的同时又要解决类似的矛盾问题,于是引入了cookie技术。Cookie技术是通过在请求和响应报文中写入cookie信息来控制客户端的状态。
---cookie会根据从服务器端发送的响应报文内的一个叫做Set-cookie的首部字段信息,通知客户端保存cookie。当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入cookie值后发送出去。服务器端发送客户端发送来的cookie后,会去检查究竟是从哪一个客户端发送来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息。
简单来说,就是
1.第一次请求(没有cookie信息状态下的请求)
浏览器:保存请求
服务器:生成cookie,记住是向谁发送的,在响应中添加cookie后返回
浏览器:保存cookie
2.第二次请求
浏览器:在请求中添加cookie后发送
服务器:检查cookie,哦,原来是刚才那家伙的请求,响应
Session机制
Web应用程序中另一个记录客户端状态的方式:Session。Session是服务器端使用的一种记录客户端状态的机制,会增加服务器的存储压力。
客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是Session。浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。如果说Cookie机制是通过检查客户身上的通行证来确定客户的身份,那么Session机制就是通过检查服务器上的客户明细表来确认客户的身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要检查档案就可以了。当多个客户端执行程序时,服务器端会保存多个客户端的Session。获取Session的时候不需要声明获取谁的Session,Session机制决定了当前客户只会获取到自己的Session,而不会获取到别人的Session,各个Session彼此独立,互不相见。
Session 对浏览器的要求
虽然Session保存在服务器,对客户端是透明的,它的正常运作仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。http协议是无状态的,session不能依据http连接来判断是否为统一客户,因此服务器向浏览器发送一个名为JSESSIONID的cookie,它的值为该Session的id.Session依据该Cookie来识别是否为同一用户。