Session

由來

本來 session 是一個抽象概念，開發(fā)者為了實現(xiàn)中斷和繼續(xù)等操作，將 user agent 和 server 之間一對一的交互，抽象為“會話”，進而衍生出“會話狀態(tài)”，也就是 session 的概念。

設(shè)計動機

由于HTTP協(xié)議是無狀態(tài)的協(xié)議，所以服務(wù)端需要記錄用戶的某種狀態(tài)時，就需要用機制來識具體的用戶，這個機制就是Session。

應(yīng)用

典型的場景比如購物車，當你點擊下單按鈕時，由于HTTP協(xié)議無狀態(tài)，所以并不知道是哪個用戶操作的，所以服務(wù)端要為特定的用戶創(chuàng)建了特定的Session，用用于標識這個用戶，并且跟蹤用戶，這樣才知道購物車里面有幾本書。這個Session是保存在服務(wù)端的，有一個唯一標識。

存在形式

在服務(wù)端保存Session的方法很多，內(nèi)存、數(shù)據(jù)庫、文件（持久化）都有。集群的時候也要考慮Session的轉(zhuǎn)移，在大型的網(wǎng)站，一般會有專門的Session服務(wù)器集群，用來保存用戶會話，這個時候Session信息都是放在內(nèi)存的，使用一些緩存服務(wù)比如Memcached之類的來放Session。

實現(xiàn)方法

每次HTTP請求的時候，客戶端都會發(fā)送相應(yīng)的Cookie信息到服務(wù)端。實際上大多數(shù)的應(yīng)用都是用 Cookie 來實現(xiàn)Session跟蹤的，第一次創(chuàng)建Session的時候，服務(wù)端會在HTTP協(xié)議中告訴客戶端，需要在 Cookie 里面記錄一個Session ID，以后每次請求把這個會話ID發(fā)送到服務(wù)器，我就知道你是誰了。有人問，如果客戶端的瀏覽器禁用了 Cookie 怎么辦？一般這種情況下，會使用一種叫做URL重寫的技術(shù)來進行會話跟蹤，即每次HTTP交互，URL后面都會被附加上一個諸如 sid=xxxxx 這樣的參數(shù)，服務(wù)端據(jù)此來識別用戶。

Cookie

存在形式

cookie是一個實際存在的東西，http協(xié)議中定義在header中的字段。

HTTP 請求報文

session cookie與persistent cookie

session cookie針對某一次會話而言，會話結(jié)束session cookie也就隨著消失了，而persistent cookie只是存在于客戶端硬盤上的一段文本（通常是加密的），而且可能會遭到cookie欺騙以及針對cookie的跨站腳本攻擊，自然不如 session cookie安全

應(yīng)用

在客戶端保存用戶信息。