什么是session?什么是cookie?
session是解决HTTP协议无状态的问题的,是一种服务端解决方案,它能让服务端和客户端,一系列的交互动作变成一个完整的事务,能使这个网站变成真正意义上的面向客户端的一个web软件,session可以说是实现B/S架构软件的一个基础。
思考一个问题,既然HTTP是五状态的,那么服务器是怎么知道每个客户端是不同的呢?方法就是检查HTTP请求头,第一次收到请求的时候,检查有没有sessionId,如果没有会给它创建一个,如果有就取出来,当成身份的标识,现在浏览器也很配合,因为每次请求页面的时候,都会把这个服务器设的sessionId每次都给它带回服务器,服务器端以此区别每个页面来自哪个客户端的。
那么在服务器端session它存储到哪里去了呢?存在了内存里或者存在了硬盘上,或者存在了数据库里面都是可以的。在分布式的系统里面,要考虑session的共享,就不能简单的存储在一台服务器的机器的内存里面了。
当用户首次与Web服务器建立连接的时候,服务器会给用户分发一个sessionId作为客户端的标识,这个sessionId是由24个字符组成的一个随机字符串,用户后续每次向服务器请求页面,浏览器都会把sessionId包括在HTTP的头部信息当中,一并提交给Web服务器,web服务器拿到sessionId,再以sessionId在本地找到session对象,这样就能区分当前请求页面的是那个客户端了。
sessionId它是作为cookie保存在客户端浏览器内的,而session一般是保存在服务器端的,但是有些Web框架在实现的时候,为了简单起见,也将session加密也存在了客户端的浏览器里面,如果用户禁用了浏览器的cookie,服务器端就得不到sessionId了,这个时候我们可以使用UR参数的方式,来存储客户端的sessionId,也就是直接将sessionId直接写在URL的参数里边,这种方式不一定就不安全,要看整体的方案是怎样实现的。
sessionId具体是如何产生的?
sessionId是一个会话的key,浏览器第一次访问服务器的时候,会在服务器端参数一个session,有一个sessionId和它对应,关于这个session的产生,并不是自动产生的,但是它与语言基本上也是无关的,在不同的语言和web框架里面,实现的方法也不一样的,在Golang语言的Iris框架里和node.js的koa框架里都有人写好了相应的模块,可以完成这个功能,开发直接用就好了,以Java开发为例,它生成的sessionId叫做JssessionId,tomcat的ManagerBase类,提供了创建sessionId的方法。
实现session的共享与同步,有两个问题需要解决:
第一个问题:session的存储应该是独立于Web容器而存在的?
第二个问题:如何进行高效的session同步,尽量降低延迟?
最好的方案就是使用分布式缓存技术,例如Memcached或者Redis,将session信息的存储独立出来。
服务端在设置cookie到客户端时 参数{httpOnly:false} 表示客户端可以用JS取得cookie,{httpOnly:true}相反
