帶你了解session和cookie作用原理差異和用法（圖文教學）

這篇文章主要介紹了session和cookie作用原理,區別和用法,以及使用過程中的優缺點，透過列舉區別和原理，使讀者更能理解兩者之間的關係,需要的朋友可以參考下

Cookie概念

      在瀏覽某些網站時,這些網站會把一些資料存在客戶端,用於使用網站等跟踪使用者,實現使用者自訂功能.

是否設定過期時間:

#      若不設定過期時間,則表示這個Cookie生命週期為瀏覽器會話期間, 只要關閉瀏覽器,cookie就消失了.
      這個生命期為瀏覽會話期的cookie,就是會話Cookie;

儲存:   
      一般儲存於記憶體,不在硬碟;
      如果設定了過期時間, 瀏覽器會把cookie保存在硬碟上,關閉再開啟瀏覽器, 這些cookie依然有效直到超過的設定過期時間;
      儲存在硬碟上的Cookie可以在不同的瀏覽器進程間共享，例如兩個IE視窗。
      而適用於儲存 在記憶體的Cookie，不同的瀏覽器有不同的處理方式。

原則:

     如果瀏覽器使用的是cookie，那麼所有的資料都保存在瀏覽器端，
      例如你登入以後，伺服器設定了Cookie使用者名稱(username),那麼，當你再次請求伺服器的時候，瀏覽器會將username一塊傳送給伺服器，這些變數有一定的特殊標記。
     伺服器會解釋為 cookie變數。
     所以只要不關閉瀏覽器，那麼 cookie變數就一直是有效的，所以能夠保證長時間不斷線。
     如果你能夠截取某個使用者的 cookie變量，然後偽造一個資料包發送過去，那麼伺服器還是認為你是合法的。所以使用 cookie被攻擊的可能性比較大。
     如果設定了的有效時間，那麼它會將cookie保存在客戶端的硬碟上，下次再造訪該網站的時候，瀏覽器先檢查有沒有cookie，如果有的話，就讀取該cookie，然後發送給伺服器。
     如果你在機器上面保存了某個論壇cookie，有效期是一年，如果有人入侵你的機器，將你的cookie拷走，然後放在他的瀏覽器的目錄下面，那麼他登入該網站的時候就是用你的身分登入的。
     所以 cookie是可以偽造的。
     當然，偽造的時候需要主意，直接copy cookie文件到cookie目錄，瀏覽器是不認的，
     他有一個index.dat文件，儲存了cookie檔案的建立時間，以及是否有修改，所以你必須先要有網站的cookie文件，並且要從保證時間上騙過瀏覽器，
     曾經在學校的vbb論壇上面做過試驗，copy別人的cookie登錄，冒用了別人的名義發帖子，完全沒有問題。
 
cookie 使用:

  setcookie("user","zy",time()+3600); 设置user为zy,一小时之后失效;
  $_COOKIE['user'];     取回user值(名字)
  setcookie("user","",time()-3600); 删除cookie,第二个参数为空,第三个时间设置为小于系统的当前时间即可.

  或在瀏覽器設定

#      使用Cookie時,Cookie自動產生一個文字檔案儲存在IE瀏覽器的Cookie臨時資料夾,應用瀏覽器刪除Cookie檔案的特定操作步驟為
      >選擇IE瀏覽器中的工具/internet選項指令,開啟Internet選項對話框,
      >在一般標籤中點選刪除Cookie按鈕,在彈出的對話方塊中點選確定按鈕,即可成功刪除全部Cookie檔.
 
Session的概念

      Session 是儲存在伺服器端的類似HashTable結構（每一種web開發技術的實作可能不一樣，下文直接稱為HashTable）來存放使用者資料;

功能：

      實作網頁之間資料傳遞，是儲存在伺服器端的物件集合。

原則：

      當使用者要求一個Asp.net頁面時，系統會自動建立一個Session;退出應用程式或關閉伺服器時，該Session撤銷。系統在創建Session時將為其分配一個長長的字串標識，以實現對Session進行管理與追蹤。
      session機制是伺服器端的機制，而伺服器則使用類似散列表的結構（也可能就是使用散列表）來保存資訊。
      
儲存:

#

      儲存在Server段的記憶體進程中的，而這個進程相當不穩定，經常會重啟，這樣重啟的話，就會造成Session失效，用戶就必須要重新登錄，用戶體驗相當差，比如用戶在填寫資料，快要結束的時候Session失效，直接跳到登入頁面;

是否已經創建過session:

      當程式需要為某個客戶端的請求創建一個session時，伺服器先檢查這個客戶端的請求裡是否已包含了一個session標識（稱為session id），

      如果已包含則表示以前已經為此客戶端創建過session，服務器就按照session id把這個session檢索出來....使用（檢索不到，會新建一個），
 
      如果客戶端請求不包含session id，為此客戶端創建一個session並且生成一個與此session相關聯的session id，

      session id的值應該是一個既不會重複，又不容易被找到規律以仿造的字串，這個session id將被在本次回應中傳回給客戶端保存。

     (總結: 建立一個session時,伺服器看這個客戶端是否包含session標識, 是的話按照session id把session檢索出來,否則就得新建一個.)

Session的客戶端實作形式（即Session ID的保存方法）:

     一般瀏覽器提供了兩種方式來保存，還有一種是程式設計師使用html隱藏域的方式自訂實現：

     [1] 使用Cookie來保存，這是最常見的方法，本文「記住我的登入狀態」功能的實作正式基於這種方式的。

     伺服器透過設定Cookie的方式將Session ID傳送至瀏覽器。
 
     如果我們不設定這個過期時間，那麼這個Cookie將不會存放在硬碟上，當瀏覽器關閉的時候，Cookie就消失了，這個Session ID就遺失了。

     如果我們設定這個時間為若干天之後，那麼這個Cookie會保存在客戶端硬碟中，即使瀏覽器關閉，這個值仍然存在，下次造訪對應網站時，同樣會發送到伺服器上。

     [2] 使用URL附加資訊的方式，也就是像我們常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的。這種方式跟第一種方式裡面不設定Cookie過期時間是一樣的。 (URL重寫，就是把session id直接附加在URL路徑的後面。)

#     [3] 第三種方式是在頁面表單裡面增加隱藏域，這種方式實際上和第二種方式一樣，只不過前者透過GET方式發送數據，後者使用POST方式發送數據。但是明顯後者比較麻煩。
     表單隱藏字段就是伺服器會自動修改表單，新增一個隱藏字段，以便在表單提交時能夠把session id傳回伺服器。例如：
     

        
        

      

      其實此技巧可以簡單的使用對action式應用網址來取代。

session 使用:

        使用者資料儲存至session前,先啟動;
                 $_SESSION['user'] ="zy";      設定使用者名稱
         unset($_SESSION['user']);    銷毀使用者名稱
    失去已經儲存的session的資料

cookie 與session 的差異：

       1、cookie資料存放在客戶的瀏覽器上，將session資料放在伺服器上.

       簡單的說，當你登入網站的時候，如果web伺服器端使用的是session,那麼所有的資料都儲存在伺服器上面，
       客戶端每次請求伺服器的時候會傳送目前的會話session_id，伺服器根據目前session_id判斷對應的使用者資料標誌，以決定使用者是否登入，或具有某種權限。
       由於資料是儲存在伺服器 上面，所以你不能偽造，但是如果你能夠取得某個登入使用者的session_id，用特殊的瀏覽器偽造該使用者的請求也是能夠成功的。
       session_id是服務 器和客戶端連結時候隨機分配的，一般來說是不會有重複，但如果有大量的並發請求，也不是沒有重複的可能性，我曾經就遇到過一次。
       登入某個網站，開始顯示的 是自己的訊息，等一段時間超時了，一刷新，居然顯示了別人的信息。

       Session是由應用程式伺服器維持的一個伺服器端的儲存空間，使用者在連接伺服器時，會由伺服器產生一個唯一的SessionID,用該SessionID 為識別碼來存取伺服器端的Session儲存空間。而SessionID這資料則是儲存到客戶端，用Cookie儲存的，使用者提交頁面時，會將這 SessionID提交到伺服器端，來存取Session資料。這一過程，是不用開發人員幹預的。所以一旦客戶端停用Cookie，那麼Session也會失效。

       2、cookie不是很安全，別人可以分析存放在本地的COOKIE並進行COOKIE欺騙考慮到安全應當使用session。

       3、session會在一段時間內儲存於伺服器上。當訪問增多，會比較佔用你伺服器的效能考慮到減輕伺服器效能方面，應使用COOKIE。

       4、單一cookie儲存的資料不能超過4K，許多瀏覽器限制一個網站儲存最多20個cookie。 (Session物件沒有對儲存的資料量的限制，其中可以保存更為複雜的資料類型)

#注意:

      session很容易失效,使用者體驗很差;

      雖然cookie不安全,但是可以加密;

      cookie也分為永久和暫時存在的;

      瀏覽器有禁止cookie功能,但一般使用者都不會設定;

     必須設定失效時間,不然瀏覽器關機就消失了;

 例如:

      記住密碼功能就是使用永久cookie寫在客戶端電腦，下次登入時，自動將cookie訊息附加傳送給服務端。

      application是一種全域性訊息，是所有使用者分享的訊息，如可以記錄有多少使用者現在登入本網站，並且把訊息展現個所有使用者。

兩者最大的差別在於生存週期，一個是IE啟動到IE關閉.(瀏覽器頁面一關,session就消失了)
一個是預先設定的生存週期，或永久的保存於本地的文件。 (cookie)

上面是我整理給大家的，希望今後會對大家有幫助。

相關文章：

nodejs連接mysql資料庫步驟詳解

給nodejs裡密碼加密有哪幾種方式

vue處理storejs取得的資料

以上是帶你了解session和cookie作用原理差異和用法（圖文教學）的詳細內容。更多資訊請關注PHP中文網其他相關文章！