会话cookie和持久化cookie实现session机制

   当你第一次访问一个网站的时候,网站服务器会在响应头内加上Set-Cookie:PHPSESSID=nj1tvkclp3jh83olcn3191sjq3(php服务器),或Set-Cookie JSESSIONID=nj1tvkclp3jh83olcn3191sjq3(java服务器)信息,此信息是服务器随机生成的,放在服务器内存里,为了标识唯一的客户端用户,内容不会重复,这就是sessionid.
   当浏览器得到这个sessionid会将它放在自己的进程内存里,这里不同的浏览器会有所不同,IE进程间不能共享这个sessionid,也就是新开一个IE将不能共享这个sessionid;而Firefox进程间可以共享.然后你继续发请求给这个网站的时候,浏览器就会把这个sessionid放在请求头里发送给该服务器了,这样服务器得到sessionid后再和自己内存里存放的sessionid对比锁定客户端,从而区分不同客户端,完成会话.
   可以看出如果用这种方式,当用户在会话的过程中关闭浏览器结束进程,则这个sessionid将消失,如果用户又打开浏览器想继续这次会话的时候,就会因为发送的请求中没有这个sessionid而使服务器无法辨别该把那个session信息给他,注意(这个时候服务器端的sessionid和sessionid所指向的session都还存在,只是没有正确的sessionid和它匹配而占用服务器内存,只有session过期或服务器重启才释放内存).
   上面这种方式叫会话cookie,把cookie放在浏览器内存里,只能在这个浏览器的内存范围里完成会话,是一种不长久的方式,为了能长久会话,就出现了持久化cookie,把cookie固化在用户的计算机上,现在的cookie不单单能存放sessionid,还能放用户信息,样式表信息等.
   如果用户禁止了所有cookie的使用,那么会话cookie和持久化cookie都不能用了,有个方案也可以解决问题,就是URL重写,这里要说下的就是URL重写只能实现会话cookie的效果,持久会话实现不了.

评论

8 楼 plmmmmlq 2014-05-16  

Cookie是客户端技术，Session中服务端技术，但是Session需要Cookie的支持。

7 楼 sito 2012-05-31  

上面有朋友说不存在两种cookie，大家去查查外文资料或许可以得到更精确的结论。

我只说下我在做一个测试的结果。主要是验证如何解决同一机器同名用户同时登录web app，并且是当作两个人在使用，如何作区分标识。

3台机器：apache + 2 tomcat做一个集群环境

用IE6访问负载ip，负载因子是1:1

servlet干的事是写会话cookie（只做一次）、读cookie，每个浏览器窗口是一个独立的进程，一般情况，这个窗口都会指向某个集群node A，不断刷新（相当于另一次请求）这时session id当然是一样的，cookie的value也会是一样的。这时将这个集群node A停止，请求会被指向另一个node B，这时显示的session id变了，但cookie的值还是不变的。

找到了方法，用会话cookie去区分标识用户！！

如果写的持久cookie，不管开多少个窗口，读的值都是一样的，因为是读的磁盘，磁盘上只有一个这样的cookie

6 楼 seven_cuit 2010-12-01  

很有帮助,另外想请教一下 rubyeye, 如果Server端没有使用Session,以Java Web Server为例,那么第一次访问网站时会不会从Server端返回 jsessionid?

5 楼 zhangzhanliang 2010-04-21  

某网络在访问服务器后，可能会自动更换本地的IP，这个时候的本地存储的 sessionID 与服务器存储的 sessionID，是不是会有一方发生变化呢？

4 楼 he_lux 2009-02-18  

我觉得把COOKIE分为会话COOKIE和持久COOKIE不太妥当，这样让人感觉有两种COOKIE。
在TOMCAT里，SESSIONID存到COOKIE里后，有这么一句：cookie.setMaxAge(-1);浏览器关闭后COOKIE就会被删除。
所以应该没有两种COOKIE，COOKIE只有一种，javax.servlet.http.Cookie。所谓的这两种COOKIE，实际上应该是COOKIE的setMaxAge的结果不同而已。

3 楼 he_lux 2009-02-12  

第一次访问一个网站，网站服务器会在响应头里加上Set-Cookie JSESSIONID=nj1tvkclp3jh83olcn3191sjq3信息，客户端收到这个信息后，就把SEESIONID存在自己的COOKIE里面，然后把COOKIE内容存到浏览器进程的内存里

这样理解对吗？

2 楼 smile_juan 2009-02-09  

不是，在服务器端设置过期时间后就是持久cookie了

1 楼 he_lux 2009-02-06  

谢谢楼主分享，让我理解到了什么是会话COOKIE和持久COOKIE。

但有个疑问，浏览器使用会话COOKIE还是持久COOKIE，是在浏览器里设置么？