`
lzj0470
  • 浏览: 1273412 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

选择Session还是Cookie

    博客分类:
  • jsp
阅读更多
Cookie与Session都可以进行会话跟踪,但是实现的原理不太一样。一般情况下二者均可以满足需求,但有时候不可以使用Cookie,有时候不可以使用Session。下面通过比较说明二者的特点以及适用的场合。

1 . 从存取方式上比较

Cookie中只能保存ASCII字符串,如果需要存取Unicode字符或者二进制数据,需要进行UTF-8,GBK或者BASE64等方式的编码。Cookie中也不能直接存取Java对象。若要存储稍微复杂的信息,使用Cookie是比较困难的。 而Session中可以存取任何类型的数据,包括而不限于String、Integer、List、Map等。Session中也可以直接保存Java Bean乃至任何Java类,对象等,使用起来非常方便。可以把Session看做是一个Java容器类。

2 .隐私安全上比较

Cookie存储在客户端浏览器中,对客户端是可见的,客户端的一些程序可能会窥探、复制甚至修改Cookie中的内容。而Session存储在服务器上,对客户端是透明的,不存在敏感信息泄露的危险。 如果选用Cookie,比较好的办法是,敏感的信息如账号密码等尽量不要写到Cookie中。最好是像Google、Baidu那样将Cookie信息加密,提交到服务器后再进行解密,保证Cookie中的信息只有自己能读得懂。而如果选择Session就省事多了,反正是放在服务器上,Session里任何隐私都可以。

3. 从有效期上比较

使用过Google的人都知道,如果登录过Google,则Google的登录消息长期有效。用户不必每次访问都重新登录,Google会长久地记录该用户的登录信息。要达到这种效果,使用Cookie会是比较好的选择。只需要设置Cookie的maxAge属性为一个很大很大的数字或者Integer.MAX_VALUE就可以了。Cookie的maxAge属性支持这样的效果。 使用Session理论上也能实现这种效果。只要调用方法setMaxInactiveInterval(Integer. MAX_VALUE)不就可以了么。但是由于Session依赖于名为JSESSIONID的Cookie,而Cookie JSESSIONID的maxAge默认为–1,只要关闭了浏览器该Session就会失效,因此Session不能实现信息永久有效的效果。使用URL地址重写也不能实现。 而且如果设置Session的超时时间过长,服务器累计的Session就会越多,越容易导致内存溢出。

4. 从对服务器的负担上比较

Session是保存在服务器端的,每个用户都会产生一个Session。如果并发访问的用户非常多,会产生非常多的Session,消耗大量的内存。因此像Google、Baidu、Sina这样并发访问量极高的网站,是不太可能使用Session来追踪客户会话的。 而Cookie保存在客户端,不占用服务器资源。如果并发浏览的用户非常多,Cookie是很好的选择。对于Google、Baidu、Sina来说,Cookie也许是唯一的选择。

5 .从浏览器支持上比较

Cookie是需要客户端浏览器支持的。如果客户端禁用了Cookie,或者不支持Cookie,则会话跟踪会失效。对于WAP上的应用,常规的Cookie就派不上用场了。 如果客户端浏览器不支持Cookie,需要使用Session以及URL地址重写。需要注意的是所有的用到Session程序的URL都要使用response.encodeURL(String URL)或者response.encodeRedirectURL(String URL)进行URL地址重写,否则导致Session会话跟踪失败。对于WAP应用来说,Session+URL地址重写也许是它唯一的选择。 如果客户端支持Cookie,则Cookie既可以设为本浏览器窗口以及子窗口内有效(把maxAge设为–1),也可以设为所有浏览器窗口内有效(把maxAge设为某个大于0的整数)。但Session只能在本浏览器窗口以及其子窗口内有效。如果两个浏览器窗口互不相干,它们将使用两个不同的Session。

6. 从跨域名上比较

Cookie支持跨域名访问,例如将domain属性设置为“.helloweenvsfei.com”,则以“.helloweenvsfei.com”为后缀的所有域名均可以访问该Cookie。跨域名Cookie现在被广泛用在网络中,例如Google、Baidu、Sina等。而Session则不会支持跨域名访问。Session仅在他所在的域名内有效。 注意:仅使用Cookie或者仅使用Session可能实现不了理想的效果。这时应该尝试一下同时使用Cookie与Session。Cookie与Session的搭配使用在实际项目中会实现绚烂多姿的效果。

分享到:
评论
2 楼 nigelzeng 2012-07-23  
yeah,跨域cookie攻击好像比较多。
1 楼 skzr.org 2011-05-14  
其实很多时候大家心里都清除,技术无好坏,存在即合理。

说白了就是一个事情,正着说一遍,然后再反着说一次,两者结合,永远不会错的。

兄弟最后的“注意:”是全文要表达的精髓之处。
我暂时不做互联网应用,gae上用过文中第6点,搞了个gae的伪集群web。
结合实际场景更能体现怎样选择和权衡它们。

老实说经常有人说“如果浏览器不支持cookie怎么怎么的”
我想问:现在真的还有这样的吗?或者现在还真的有人这样设置浏览器吗????
应该说互联网用户90%以上都不会这样做<--纯属猜测,因为我还没有看到或者碰到过,包括手机都支持cookie的。

相关推荐

    flask-session-cookie-manager

    标题“flask-session-cookie-manager”指的是一个Python应用,它专门针对Flask框架,用于管理和操作session cookie。在Web开发中,session cookie是服务器用来跟踪用户状态的一种方式,特别是在无状态的HTTP协议上...

    flask-session-cookie-manager-master.zip

    本项目“flask-session-cookie-manager-master.zip”显然是一款针对Flask Web框架的session管理工具,它专注于session的加密与解密。Flask是一个轻量级的Python Web服务器网关接口(WSGI)应用框架,广泛用于快速...

    flask、session、cookie解加密脚本

    在提供的`flask_session_cookie_manager3.py`和`flask_session_cookie_manager2.py`文件中,可能包含了实现这个过程的代码。这些脚本可能用来检查或调试`Flask`应用的`session`和`cookie`管理,或者用于演示如何手动...

    session与cookie的区别和联系?

    ### Session与Cookie的区别和联系 #### 一、概念解析 - **Cookie**:Cookie是一种小型的数据文件,由服务器端生成并发送给用户浏览器,浏览器在本地(如用户的硬盘)保存该文件,然后每一次请求同一网站时都会把该...

    session 和cookie 区别

    **定制站点**:网站可以利用cookie存储用户的偏好设置,如主题颜色、语言选择等,使网站能够根据用户的喜好自动调整布局和内容。更复杂的情况下,可以使用cookie发送一个标识符,由服务器端数据库存储每个标识符对应...

    TP5 Session和Cookie

    开发者需要根据实际需求来选择使用Session还是Cookie。 在ThinkPHP5框架中,这两种技术的使用不仅限于简单的设置和获取。它们还可以与其他功能结合,比如认证、权限控制等。例如,你可以将用户登录后的信息存入...

    j2ee实验二:学习使用Session和Cookie

    ### j2ee实验二:学习使用Session和Cookie #### 实验背景与目标 在现代Web应用开发中,理解和掌握会话管理和用户认证是至关重要的。本实验旨在通过一系列实际操作来帮助学生熟悉J2EE环境下Session和Cookie的工作...

    asp.net的session和cookie的应用

    ASP.NET的Session和Cookie是Web开发中的两种关键的用户状态管理技术。它们允许开发者存储和检索用户特定的信息,从而提供个性化的用户体验。了解并熟练掌握这两者,对于任何ASP.NET Web应用程序的开发者来说都至关...

    关于session与cookie的原理简述

    【Session与Cookie原理简述】 Session和Cookie是两种在Web开发中常见的用户状态管理机制,它们主要用于在HTTP协议无状态的特性下跟踪用户状态。理解它们的原理对于编写高效的Web应用至关重要。 **Cookie原理** ...

    SpringSession同时支持Cookie和header策略

    SpringSession通过配置可以选择使用特定的头部名称来传输session信息。 现在,我们来看看`CookieHeaderHttpSessionStrategy.java`这个文件。这个类是SpringSession实现上述策略的关键组件,它继承自`...

    不用session和cookie的验证码

    完全不用session和cookie的验证码,样式自己设置,自己设置字符数

    JAVA之cookie与session

    ### JAVA之cookie与session #### 一、Cookie与Session的概念 **Cookie** 与 **Session** 是两种在 Web 开发中用于跟踪用户会话的重要技术。它们的主要目标是在客户端和服务端之间保持状态。 - **Cookie** 机制...

    Session&Cookie;.rar

    - **设计网页皮肤**:利用Session或Cookie存储用户选择的主题或布局,每次用户访问时读取并应用。 - **自动登录**:通过记住密码功能,将加密后的凭据存入Cookie,下次访问时自动填充表单。 - **控制登录时间**:...

    Cookie、Session和Token三者的区别及使用

    ### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...

    经典收藏Cookie和Session

    ### 经典收藏:Cookie与Session机制详解 #### 一、Cookie机制与Session机制的区别 在Web开发中,为了维持用户的会话状态,通常有两种常用的技术:Cookie与Session。这两种技术各有特点,适用于不同的场景。 - **...

    cookie和session示例

    选择Cookie还是Session取决于具体应用场景和需求。Cookie适合存储非敏感的、少量的信息,如用户偏好设置;而Session适用于存储敏感信息,如用户登录状态,因为它在服务器端存储。然而,过多的Session会增加服务器...

    对session和cookie的一些理解

    在设计和实现用户认证、个性化设置等功能时,需要充分考虑性能、安全性和用户体验等因素,合理选择和配置Cookie与Session的使用。通过深入学习,我们可以更好地优化应用性能,提升用户体验,并防止潜在的安全风险。

    Session、Cookie、Token的关系。以及Cookie的局限性

    在Web开发中,Session、Cookie和Token是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...

    一次搞明白 Session、Cookie、Token,面试问题全搞定.pdf

    Cookie通过设置有效期来区分Session Cookie和Persistent Cookie。Session Cookie在用户会话结束后就失效,而Persistent Cookie则可以设置一个具体的过期时间。此外,Cookie还具有Secure属性和HttpOnly属性,Secure...

    session与cookie详解

    关于session和cookie的详细解释 &lt;br&gt;所有疑问通吃

Global site tag (gtag.js) - Google Analytics