1.Cookie
1.1 Cookie机制
cookie是服务器生成,客户端保存的一小段(最大3k)文本文件。当客户端首次通过HTTP访问服务的时候,服务端会生成Cookie,然后客户端(浏览器)会保存本Cookie,下次访问服务端的时候会在请求头带上这个Cookie,从而实现了服务端和客户端的数据交换和数据校验。Cookie弥补了HTTP是无状态协议特性的天然缺陷,一个Cookie从生成到发送的过程如图:
但是,由于HTTP协议不仅是无状态的,且是不安全的,因此可以把Cookie的secure设置为yes,但是secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密,以防泄密。
1.2Cookie特性
- Cookie是不可以跨域名访问的,有了这个特性保证了用户信息的基本安全。每个Cookie可以理解成是每个域名(当然域名也分为一级、二级等)访问的通行证,为了保证数据不错乱和数据信息安全,每个域名都会相应的由服务器生成独立的Cookie,每个域名只可以操作对应域名的Cookie,这里可以在下面理解Cookie的属性。
- Cookie中使用中文的话,需要编码保存。Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码。
- Cookie可以保存二进制文件,这一点可操作性比较丰富,比如使用数字证书,或者保存图片。但是一般不推荐使用,由于Cookie本身特点,适合存储少量信息。
1.3 Cookie属性
Cookie的操作在OC中也做了一个OO封装——NSHTTPCookie,基本满足日常cookie操作,其常用属性有以下:
-
NSHTTPCookieName,同name,是该Cookie的名称,Cookie一旦创建变不可修改。 -
NSHTTPCookieValue,同value,该Cookie的值,如果值为Unicode字符,需要为字符编码,如果值为二进制数据,则需要使用BASE64编码。 -
NSHTTPCookieOriginURL,该Cookie的原始URL,通过 Cookie可以追踪用户的访问路径。 -
NSHTTPCookieVersion,同versiob,Cookie的版本,0表示遵循Netscape的Cookie规范,1表示遵循W3C的RFC 2109规范。 -
NSHTTPCookieDomain,同domain,Cookie的课访问的域名,注意第一个字符必须为‘.’。 -
NSHTTPCookiePath,同path,该Cookie的使用路径。如果设置为“/A/”,则只有contextPath为“/A”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。 -
NSHTTPCookieSecure,该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络>上传输数据之前先将数据加密。默认为false。 -
NSHTTPCookieComment,该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。 -
NSHTTPCookieMaximumAge,该Cookie失效的时间,单位秒。如果为正数,则该Cookie在>maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1。
2.Session
2.1 Session机制
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
Session由于保存在服务器,为了快速的操作数据,一般会把Session放到内存中。Session在用户第一次访问由服务器创建,Session生成后,只要用户继续访问,服务器就会更新Session。用户没访问一次服务器,服务器都会对Session进行一次更新。这里可以理解成Session也是有生命周期的。
2.2 Session特点
Session虽然保存在服务端,但是他的正常运行也是许亚哦客户端支持的,这是因为一般Session的使用需要Cookie作为识别标识(当然,这种做法很古老,一般不采用了,因为不知道客户端是否支持Cookie)。同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。
为了解决客户端不支持Cookie的问题,一般采用URL地址重写的方法。具体的就是把Sessionid放到URL的后面或者拼接到URL上面。
3.Cookie和Session的区别和联系
- cookie数据存放在客户的浏览器上,session数据放在服务器上;
(2)cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session;
(3)session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE;
(4)单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K;
Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用。
