cookie 和会话之间的区别？

jsp session servlets cookies

我正在接受网络开发培训，并且正在学习 JSP 和小服务程序。我对 HttpSession 有所了解 - 我在一些示例项目中使用过它。

在浏览器中，我看到了“删除 cookie”的选项。如果我删除 cookie，它也会删除 HttpSession。

cookie 和 session 是一样的吗？它们之间有什么区别？

另请参阅此问题：<stackoverflow.com/questions/356562/…>具体来说，关于签名 cookie 的说明。

我认为这个问题的第二个答案更贴切，如果您选择它作为最佳答案，很多人会阅读它。

Suraj Jain

cookie 只是在客户端和服务器之间来回发送的短文本字符串。您可以将 name=bob; password=asdfas 存储在 cookie 中并来回发送以识别服务器端的客户端。您可以将其视为与没有短期记忆的银行柜员进行交换，并且需要您为每笔交易确定自己的身份。当然，使用 cookie 来存储此类信息是非常不安全的。 Cookie 的大小也有限制。

现在，当银行柜员知道他/她的记忆问题时，他/她可以在一张纸上写下您的信息，并为您分配一个简短的身份证号码。然后，不用为每笔交易提供您的帐号和驾照，您只需说“我是客户 12”

将其转换为 Web 服务器：服务器将相关信息存储在会话对象中，并创建一个会话 ID，它将在 cookie 中发送回客户端。当客户端发回 cookie 时，服务器可以简单地使用 ID 查找会话对象。因此，如果您删除 cookie，会话将丢失。

另一种选择是让服务器使用 URL 重写来交换会话 ID。

假设您有一个链接 - www.myserver.com/myApp.jsp 您可以浏览该页面并将每个 URL 重写为 www.myserver.com/myApp.jsp?sessionID=asdf 甚至 www.myserver.com/asdf/myApp.jsp 并以这种方式交换标识符。此技术由 Web 应用程序容器处理，通常通过将配置设置为使用无 cookie 会话来启用。

这是一个以真实世界类比为基础的精彩解释。这个答案应该得到更多的支持。对于最有可能提出此类问题的新手来说，非常容易理解。

如果我是用户而其他人知道我的会话 ID 会怎样？

@I19 可能，他们可以冒充你。这发生在在线赌博场景中——嗅探酒店 wifi、窃取会话 ID 并访问帐户。确保会话安全完全是另一回事。

那么谁先创建 cookie 呢？服务器还是客户端？或者这个应用程序依赖？（我会说服务器，否则它会构成安全威胁，但我认为值得一提？）

@nha 服务器创建会话并将其与 cookie 一起传递到响应中。当您希望创建会话时，将根据应用程序逻辑创建会话。客户端也可以创建一个 cookie，但它在识别会话的场景中可能没有多大用处，因为服务器可能不知道该值在会话中代表什么。

Eran Galperin

会话是包含用户信息的服务器端文件，而 Cookie 是包含用户信息的客户端文件。会话具有将它们映射到特定用户的唯一标识符。此标识符可以在 URL 中传递或保存到会话 cookie 中。

大多数现代站点使用第二种方法，将标识符保存在 Cookie 中，而不是在 URL 中传递（这会带来安全风险）。您可能在不知情的情况下使用了这种方法，并且通过删除 cookie，您在删除 cookie 中包含的唯一会话标识符时有效地删除了它们的匹配会话。

“在 URL 中传递它（这会带来安全风险）。”实际上这两种方法都有安全风险（不同的）。如果处理得当，并且用户知道该 URL 是秘密的并且永远不能在公共论坛上发布，那么 URL 中的 Secret-ID 可以变得安全。

“标识符可以在 URL 中传递或保存到会话 cookie 中。” .在哪里？客户端还是服务器端？谢谢你澄清更多。

@whitelettersandblankspaces 会话 cookie 存储在客户端上（其值包含唯一的会话标识符，该标识符随每个请求一起发送，以将浏览器会话映射到服务器上的用户会话）。

WynandB

cookie 和 session 都存储有关用户的信息（使 HTTP 请求有状态），但不同之处在于 cookie 将信息存储在客户端（浏览器）上，而 session 将信息存储在服务器端。 cookie 是有限的，因为它存储有关有限用户的信息，并且只为每个用户存储有限的内容。会话不受这种方式的限制。

Eugene

在这个线程上已经有很多贡献了，只需总结一个序列图以另一种方式说明它。

https://i.stack.imgur.com/gREWR.png

这也是关于这个主题的一个很好的链接，https://web.stanford.edu/~ouster/cgi-bin/cs142-fall10/lecture.php?topic=cookie

RishikeshD

Cookie 基本上是一个跨网络浏览器访问的全局数组。多次用于发送/接收值。它作为一种存储机制来访问表单之间的值。与会话相比，浏览器可以禁用 Cookie，这对它们的使用增加了限制。

会话可以定义为登录和注销之间的东西。用户登录和注销之间的时间是一个会话。会话仅存储会话时间的值，即在注销之前。会话用于跟踪用户登录后的活动。

Nick Holt

谷歌 JSESSIONID。这将解释 Servlet API 最初如何使用 URL 重写，然后，如果启用了 cookie，则使用 cookie 来管理会话。

HTTP 是无状态的，因此客户端浏览器必须在每次请求时将其会话的 id 发送到服务器。服务器通过任何方式使用此 id 来检索该会话的任何数据，使其在请求的生命周期内可用。

Vicky

Asp.net 中的会话：

1.维护整个应用程序的数据。

2.如果当前会话处于活动状态，则保留数据。如果我们需要从多个控制器和视图中访问一些数据，则会话是存储和检索数据的方式。

3.Sessions是包含用户信息的服务器端文件。 [会话是将它们映射到特定用户的唯一标识符]

lessisawesome

Cookie 是一种实现客户端和服务器之间会话的方式，这种方式将会话信息存储在 cookie 中。但这不是保存会话信息的唯一方法，另一种方法是将会话信息存储在 Url 中。

Bhargav Rao

Cookies 以文本文件格式存储在浏览器中。它存储的数据量是有限的。它只允许 4kb[4096bytes].$_COOKIE 变量不会保存多个同名 cookie

我们可以很容易地访问 cookie 值。所以它不太安全。 setcookie() 函数必须出现在

<html>

标签。

会话存储在服务器端。它存储无限量的数据。它在会话中保存多个变量。我们无法轻松访问 cookie 值。因此它更安全。

好吧，实际上你可以在 cookie 中保存多个数据。此外，会话不能真正保存无限量的数据。您几乎受到您拥有的 RAM 数量的限制。

cookie 和会话之间的区别？

关注公众号

想领先一步获取最新的外包任务吗？

相似问题

平台

支持

联系我们