1、初识cookie
cookie的诞生跟http协议有莫大的关系。因为http是无状态的,但现实业务中却需要一定
的状态,用于区分客户端用户的身份,用于标识和认证客户,所以cookie此时顺势而生,能记录服务器与客户端之间的状态。
2、Cookiede的处理
(1)、服务器向客户端发送cookie;
(2)、浏览器将cookie保存;
(3)、之后每次浏览器将cookie发向服务器。
客户端发送的cookie在请求报文的Cookie字段中,可以通过curl工具构造cookie,cookie值的格式为key=value; key2=value2。
服务端响应客户端通过相应报文实现,响应的cookie字段在Set-Cookie字段中,Set-Cookie定于如下:
Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:45 GMT; Domain= .domain.com
name=value是必须包含部分,其余为可选,这些可选参数将会影响浏览器在后续将cookie发送给服务器的行为;
Path=/表示cookie影响到的路径;
Expires和Max-Age用来告诉浏览器cookie何时过期,如果不设置,关闭浏览器cookie将丢失;如果设置了,浏览器将会把cookie内容写入磁盘并保存;Max-Age告知浏览器此cookie多久后过期。因为浏览器时间与服务器时间可能存在偏差,所以存在Max-Age字段;
HttpOnly设置后浏览器端无法通过document.cookie更改Cookie的值,document.cookie将不可见;
Secure当Secure为true时,只在HTTPS中有效。
3、Cookie的性能影响
Cookie一旦设定,除非Cookie过期,否则客户端每次请求都会发送Cookie,一旦Cookie设置较多,将会导致报头过大。
减小Cookie大小
避免在根域名的根节点设置Cookie,为静态组件设置不同的域名,因为Cookie对静态组件基本没有影响
广告与在线统计领域是最为依赖Cookie的,通过嵌入第三方的广告或者统计脚本,将Cookie和当前页面绑定,这样就可以标识用户,得到用户的浏览行为,广告商就可以定向投放广告。
4、session的诞生
因为Cookie存在体积过大的问题,且更严重的是Cookie可以在前后端进行更改,Cookie对于敏感数据的保护是无效的,所以session应运而生。session的数据保存在服务端,客户端无法修改,且无需在协议中每次都被传递。
<div>session存储在服务器端,如何将客户和服务器中的数据一一对应起来?</div>
<ul>
<li>1、基于Cookie来实现用户和数据的映射;</li>
<li>2、通过查询字符串来实现浏览器和服务器端数据的对应。</li>
</ul>
<p>
(1)、将所有数据放在Cookie中不可取,但可以将口令(服务器端生成)存放在Cookie中,因为Cookie一旦被修改,就丢失了映射关系,也就无法获取修改服务器的数据了。
如果客户端禁止使用Cookie,大多数网站将无法实现登录等操作。</p>
<p>
(2)、原理是检查请求的查询字符串,如果没有值,会生成新的带值的URL,然后形成跳转(302状态码),让客户端重新发起请求。
</p>
session与内存
session的存储在内存中,在Node中会存在内存限制,如果用户增多,我们可能会触到内存限制的上限,内存数据量加大必然引起垃圾回收机制的频繁扫描,引起性能问题。还有现在的多核CPU可以启动多个进程,用户的请求链接可能随意分配到各个进程中,Node的进程与进程之间不能共享内存,所以用户的session可能会引起错乱。
为了解决性能问题和session数据无法跨进程共享的问题,常用方案将Session集中化,将原本可能分散在多个进程中的数据统一到集中的数据存储中,像Redis等。
