博客

cookie、session、sessionid 与jsessionid

  • Post author:
  • Post category:其他



http://www.cnblogs.com/fnng/archive/2012/08/14/2637279.html





Cookie




session


的产生过程


我们都知道

HTTP


协议本身是无状态的,客户只需要简单的向服务器来发送请求下载某些文件,客户端向服务器端发送的每次请求都是独立的。对于当前的


web


应用,


HTTP


的“无状态”,导致许多应用都不得不花费大量的精力来记录用户的操作步骤。就像我们上面介绍的第一种情况,银行职员要花费大量的精力来记忆每一位用户的存


/


取款记录。


程序员很快发现,如果能够提供一些按需生成的动太信息,会使

web


的交互能力大大增强。程序员一方面在


HTML


中添加表单、脚本、


DOM


等客户端行为,来增加


web


应用与客户端的交互性。另一方面在服务器端测出现了


CGI


规范以响应客户端的动态请求,作为传输载体的


HTTP


协议添加了文件上载、


cookie


等特性。那


cookie


的原理与我们上面介绍的使用存折记录用户应为的方式是一样一样的。


通过前面的例子我们已经发现,通过

cookie


的方式存储信息,可能会存在一点定的安全性,因为所有的信息都是写在客户端的,客户可能会对这些信息进行修改或清除。然后就又出现


session


的方式用于保存用户行为,这种方式的原理与前面介绍银行卡的方式是一样的。

具体来说

cookie


机制采用的是在客户端保持状态的方案,而


session


机制采用的是在服务器端保持状态的方案。同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以


session


机制可能需要借助于


cookie


机制来达到保存标识的目的,但实际上它还有其他选择。



cookie与session的机制与原理


cookie

机制。正统的


cookie


分发是通过扩展


HTTP


协议来实现的,服务器通过在


HTTP


的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的


cookie


。然而纯粹的客户端脚本如


JavaScript


或者


VBScript


也可以生成


cookie


。而


cookie


的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的


cookie


,如果某个


cookie


所声明的作用范围大于等于将要请求的资源所在的位置,则把该


cookie


附在请求资源的


HTTP


请求头上发送给服务器。



cookie

的内容主要包括:名字,值,过期时间,路径和域。路径与域一起构成


cookie


的作用范围。若不设置过期时间,则表示这个


cookie


的生命期为浏览器会话期间,关闭浏览器窗口,


cookie


就消失。这种生命期为浏览器会话期的


cookie


被称为会话


cookie


。会话


cookie


一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置了过期时间,浏览器就会把


cookie


保存到硬盘上,关闭后再次打开浏览器,这些


cookie


仍然有效直到超过设定的过期时间。存储在硬盘上的


cookie


可以在不同的浏览器进程间共享,比如两个


IE


窗口。而对于保存在内存里的


cookie


,不同的浏览器有不同的处理方式


session

机制。


session


机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。


当程序需要为某个客户端的请求创建一个

session


时,服务器首先检查这个客户端的请求里是否已包含了一个


session


标识

————称为

session

id

,如果已包含则说明以前已经为此客户端创建过


session


,服务器就按照


session id


把这个


session


检索出来使用(检索不到,会新建一个),如果客户端请求不包含


session id


,则为此客户端创建一个


session


并且生成一个与此


session


相关联的


session id





session id


的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个


session id


将被在本次响应中返回给客户端保存。



保存这个

session id


的方式可以采用


cookie


,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个


cookie


的名字都是类似于


SEEESIONID


。但


cookie


可以被人为的禁止,则必须有其他机制以便在


cookie


被禁止时仍然能够把


session id


传递回服务器。




经常被使用的一种技术叫做

URL


重写,就是把


session id


直接附加在


URL


路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把


session id


传递回服务器。




Jsessionid?


Jsessionid

只是


tomcat


的对


sessionid


的叫法,其实就是


sessionid


;在其它的容器也许就不叫


jsessionid


了。