返回首頁
當前位置: 主頁 > 網絡編程 > Asp實例教程 >

認識cookie與session的區別與應用

時間:2014-03-17 21:22來源:知行網www.aotfjk.live 編輯:麥田守望者

通常我們所說的瀏覽器自動保存密碼,下次不用登陸,網頁換皮膚,用戶引導,提示一次就不再出現的內容,大部分通過cookie或者session來實現的,在這次制作用戶引導中,本人就用到了cookie的內容,鑒于之前沒有詳細的了解,本文將深入的講解兩者的區別以及應用。

如果你正在尋找怎么設置Cookie、使用cookie和刪除cookie,可以看我的下一篇文章:

使用js來設置、讀取、刪除cookie的最佳代碼(附換膚應用)

Cookie的概念

Cookie是瀏覽器(User Agent)訪問一些網站后,這些網站存放在客戶端的一組數據,用于使網站等跟蹤用戶,實現用戶自定義功能。

Cookie的Domain和Path屬性標識了這個Cookie是哪一個網站發送給瀏覽器的;Cookie的Expires屬性標識了Cookie的有效時間,當Cookie的有效時間過了之后,這些數據就被自動刪除了。

如 果不設置過期時間,則表示這個Cookie生命周期為瀏覽器會話期間,只要關閉瀏覽器窗口,Cookie就消失了。這種生命期為瀏覽會話期的Cookie 被稱為會話Cookie。會話Cookie一般不保存在硬盤上而是保存在內存里。如果設置了過期時間,瀏覽器就會把Cookie保存到硬盤上,關閉后再次 打開瀏覽器,這些Cookie依然有效直到超過設定的過期時間。存儲在硬盤上的Cookie可以在不同的瀏覽器進程間共享,比如兩個IE窗口。而對于保存 在內存的Cookie,不同的瀏覽器有不同的處理方式。

Session的概念

Session 是存放在服務器端的類似于HashTable結構(每一種Web開發技術的實現可能不一樣,下文直接稱之為HashTable)來存放用戶數據,當瀏覽器 第一次發送請求時,服務器自動生成了一個HashTable和一個Session ID用來唯一標識這個HashTable,并將其通過響應發送到瀏覽器。當瀏覽器第二次發送請求,會將前一次服務器響應中的Session ID放在請求中一并發送到服務器上,服務器從請求中提取出Session ID,并和保存的所有Session ID進行對比,找到這個用戶對應的HashTable。

一般情況下,服務器會在一定時間內(默認20分鐘)保存這個 HashTable,過了時間限制,就會銷毀這個HashTable。在銷毀之前,程序員可以將用戶的一些數據以Key和Value的形式暫時存放在這個 HashTable中。當然,也有使用數據庫將這個HashTable序列化后保存起來的,這樣的好處是沒了時間的限制,壞處是隨著時間的增加,這個數據 庫會急速膨脹,特別是訪問量增加的時候。一般還是采取前一種方式,以減輕服務器壓力。

Session的客戶端實現形式(即Session ID的保存方法)

一般瀏覽器提供了兩種方式來保存,還有一種是程序員使用HTML隱藏域的方式自定義實現:

[1] 使用Cookie來保存,這是最常見的方法,本文“記住我的登錄狀態”功能的實現正式基于這種方式的。服務器通過設置Cookie的方式將Session ID發送到瀏覽器。如果我們不設置這個過期時間,那么這個Cookie將不存放在硬盤上,當瀏覽器關閉的時候,Cookie就消失了,這個Session ID就丟失了。如果我們設置這個時間為若干天之后,那么這個Cookie會保存在客戶端硬盤中,即使瀏覽器關閉,這個值仍然存在,下次訪問相應網站時,同 樣會發送到服務器上。

[2] 使用URL附加信息的方式,也就是像我們經常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的。這種方式和第一種方式里面不設置Cookie過期時間是一樣的。

[3] 第三種方式是在頁面表單里面增加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過GET方式發送數據,后者使用POST方式發送數據。但是明顯后者比較麻煩。

cookie與session的區別:

cookie數據保存在客戶端,session數據保存在服務器端。

簡 單的說,當你登錄一個網站的時候,如果web服務器端使用的是session,那么所有的數據都保存在服務器上面,客戶端每次請求服務器的時候會發送 當前會話的sessionid,服務器根據當前sessionid判斷相應的用戶數據標志,以確定用戶是否登錄,或具有某種權限。由于數據是存儲在服務器 上面,所以你不能偽造,但是如果你能夠獲取某個登錄用戶的sessionid,用特殊的瀏覽器偽造該用戶的請求也是能夠成功的。sessionid是服務 器和客戶端鏈接時候隨機分配的,一般來說是不會有重復,但如果有大量的并發請求,也不是沒有重復的可能性,我曾經就遇到過一次。登錄某個網站,開始顯示的 是自己的信息,等一段時間超時了,一刷新,居然顯示了別人的信息。

如果瀏覽器使用的是 cookie,那么所有的數據都保存在瀏覽器端,比如你登錄以后,服務器設置了 cookie用戶名(username),那么,當你再次請求服務器的時候,瀏覽器會將username一塊發送給服務器,這些變量有一定的特殊標記。服 務器會解釋為 cookie變量。所以只要不關閉瀏覽器,那么 cookie變量便一直是有效的,所以能夠保證長時間不掉線。如果你能夠截獲某個用戶的 cookie變量,然后偽造一個數據包發送過去,那么服務器還是認為你是合法的。所以,使用 cookie被攻擊的可能性比較大。如果設置了的有效時間,那么它會將 cookie保存在客戶端的硬盤上,下次再訪問該網站的時候,瀏覽器先檢查有沒有 cookie,如果有的話,就讀取該 cookie,然后發送給服務器。如果你在機器上面保存了某個論壇 cookie,有效期是一年,如果有人入侵你的機器,將你的 cookie拷走,然后放在他的瀏覽器的目錄下面,那么他登錄該網站的時候就是用你的的身份登錄的。所以 cookie是可以偽造的。當然,偽造的時候需要主意,直接copy cookie文件到 cookie目錄,瀏覽器是不認的,他有一個index.dat文件,存儲了 cookie文件的建立時間,以及是否有修改,所以你必須先要有該網站的 cookie文件,并且要從保證時間上騙過瀏覽器,曾經在學校的vbb論壇上面做過試驗,copy別人的 cookie登錄,冒用了別人的名義發帖子,完全沒有問題。

Session是由應用服務器維持的一個服務器端的存儲空間,用戶在連接服務器時,會由服務器生成一個唯一的SessionID,用該SessionID 為標識符來存取服務器端的Session存儲空間。而SessionID這一數據則是保存到客戶端,用Cookie保存的,用戶提交頁面時,會將這一 SessionID提交到服務器端,來存取Session數據。這一過程,是不用開發人員干預的。所以一旦客戶端禁用Cookie,那么Session也會失效。

服務器也可以通過URL重寫的方式來傳遞SessionID的值,因此不是完全依賴Cookie。如果客戶端Cookie禁用,則服務器可以自動通過重寫URL的方式來保存Session的值,并且這個過程對程序員透明。

可以試一下,即使不寫Cookie,在使用request.getCookies();取出的Cookie數組的長度也是1,而這個Cookie的名字就是JSESSIONID,還有一個很長的二進制的字符串,是SessionID的值。

------分隔線----------------------------
標簽(Tag):asp asp技巧 asp實例教程 asp源代碼 asp基礎教程
------分隔線----------------------------
推薦內容
猜你感興趣
湖南刘雪龙黑彩