当前位置：首页 > news >正文

【配代码演示】Cookie和Session的区别

news 文章来源：https://blog.csdn.net/m0_63571404/article/details/132982893 2024/11/6 16:50:30

一、共同之处：
cookie和session都是用来跟踪浏览器用户身份的会话方式。

二、工作原理：
1.Cookie的工作原理
（1）浏览器端第一次发送请求到服务器端
（2）服务器端创建Cookie，该Cookie中包含用户的信息，然后将该Cookie发送到浏览器端
（3）浏览器端再次访问服务器端时会携带服务器端创建的Cookie
（4）服务器端通过Cookie中携带的数据区分不同的用户
在这里插入图片描述
2.Session的工作原理
1）浏览器端第一次发送请求到服务器端，服务器端创建一个Session，同时会创建一个特殊的Cookie（name为JSESSIONID的固定值，value为session对象的ID），然后将该Cookie发送至浏览器端
（2）浏览器端发送第N（N>1）次请求到服务器端,浏览器端访问服务器端时就会携带该name为JSESSIONID的Cookie对象
（3）服务器端根据name为JSESSIONID的Cookie的value(sessionId),去查询Session对象，从而区分不同用户。

name为JSESSIONID的Cookie不存在（关闭或更换浏览器），返回1中重新去创建Session与特殊的Cookie
name为JSESSIONID的Cookie存在，根据value中的SessionId去寻找session对象
value为SessionId不存在**（Session对象默认存活30分钟）**，返回1中重新去创建Session与特殊的Cookie
value为SessionId存在，返回session对象
在这里插入图片描述
三、区别：

cookie数据保存在客户端，session数据保存在服务端。

session
简单的说，当你登陆一个网站的时候，如果web服务器端使用的是session，那么所有的数据都保存在服务器上，客户端每次请求服务器的时候会发送当前会话sessionid，服务器根据当前sessionid判断相应的用户数据标志，以确定用户是否登陆或具有某种权限。由于数据是存储在服务器上面，所以你不能伪造。

cookie
sessionid是服务器和客户端连接时候随机分配的，如果浏览器使用的是cookie，那么所有数据都保存在浏览器端，比如你登陆以后，服务器设置了cookie用户名，那么当你再次请求服务器的时候，浏览器会将用户名一块发送给服务器，这些变量有一定的特殊标记。服务器会解释为cookie变量，所以只要不关闭浏览器，那么cookie变量一直是有效的，所以能够保证长时间不掉线。

如果你能够截获某个用户的cookie变量，然后伪造一个数据包发送过去，那么服务器还是认为你是合法的。所以，使用cookie被攻击的可能性比较大。

如果cookie设置了有效值，那么cookie会保存到客户端的硬盘上，下次在访问网站的时候，浏览器先检查有没有cookie，如果有的话，读取cookie，然后发送给服务器。

所以你在机器上面保存了某个论坛cookie，有效期是一年，如果有人入侵你的机器，将你的cookie拷走，放在他机器下面，那么他登陆该网站的时候就是用你的身份登陆的。当然，伪造的时候需要注意，直接copy cookie文件到 cookie目录，浏览器是不认的，他有一个index.dat文件，存储了 cookie文件的建立时间，以及是否有修改，所以你必须先要有该网站的 cookie文件，并且要从保证时间上骗过浏览器

两个都可以用来存私密的东西，session过期与否，取决于服务器的设定。cookie过期与否，可以在cookie生成的时候设置进去。

四、区别对比：
(1)cookie数据存放在客户的浏览器上，session数据放在服务器上
(2)cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session
(3)session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，如果主要考虑到减轻服务器性能方面，应当使用COOKIE
(4)单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能3K。
(5)所以：将登陆信息等重要信息存放为SESSION;其他信息如果需要保留，可以放在COOKIE中

实现登录功能

package EnableUserLogin;import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpSession;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;@WebServlet("/index")
public class IndexServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {resp.setContentType("text/html; charset=utf-8");// 1. 判定当前用户是否已经登陆HttpSession session = req.getSession(false);if (session == null) {// 用户没有登陆, 重定向到 login.htmlresp.sendRedirect("login.html");return;}// 2. 如果已经登陆, 则从 Session 中取出访问次数数据String userName = (String)session.getAttribute("username");String countString = (String)session.getAttribute("loginCount");int loginCount = Integer.parseInt(countString);loginCount += 1;session.setAttribute("loginCount", loginCount + "");// 3. 展示到页面上.StringBuilder html = new StringBuilder();html.append(String.format("<div>用户名: %s</div>", userName));html.append(String.format("<div>loginCount: %d</div>", loginCount));resp.getWriter().write(html.toString());}
}

package EnableUserLogin;import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpSession;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebServlet("/login")
public class LoginServlet extends HttpServlet {@Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {resp.setContentType("text/html; charset=utf-8");// 1. 获取到用户提交的用户名和密码String username = req.getParameter("username");String password = req.getParameter("password");// 2. 判定用户名密码是否正确if (!username.equals("admin") || !password.equals("123")) {// 登陆失败resp.getWriter().write("登陆失败");return;}// 登陆成功System.out.println("登陆成功");// 设置 SessionHttpSession session = req.getSession(true);session.setAttribute("username", "admin");session.setAttribute("loginCount", "0");resp.sendRedirect("index");}
}

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body><form action="login" method="POST"><input type="text" name="username"><input type="password" name="password"><input type="submit" value="提交"></form>
</body>
</html>

【配代码演示】Cookie和Session的区别

实现登录功能

相关文章：

【配代码演示】Cookie和Session的区别

【Linux初阶】信号入门2 | 信号阻塞、捕捉、保存

【已解决】：该该虚拟机似乎正在使用中。如果该虚拟机未在使用，请按“获取所有权(T)“按钮获取它的所有权。否则，请按“取消(C)“按钮以防损坏。

系统架构常用的工具

腾讯云2核4G服务器5M带宽 218元一年优惠价格明细表

[C++ 网络协议] 多播与广播

IOS17正式版今日发布

2560. 打家劫舍 IV

java web中部署log4j.xml

【张兔兔送书第一期：考研必备书单】

基于Spring Boot+ Vue的健身房管理系统与实现

ThreadLocal线程局部变量

C++ Primer (第五版）第一章习题部分答案

Python与GUI集成：零基础也能开发国际象棋游戏

SaaS软件能保证数据安全吗？

方案：基于AI烟火识别与视频技术的秸秆焚烧智能化监控预警方案

phantomjs插件---实现通过链接生成网页截图

SpringBoot分页实现查询数据

Jetson Xavier NX 与飞控（Pixhawk 4 Mini）实现串口通信

为什么2022年秋招嵌入式开发岗位薪资大涨？

在HTML里，attribute和property有什么区别？

机器学习入门与实践：从原理到代码

SpringCloud在idea中一键启动项目

VB过程的递归调用，辗转相除法求最大公约数

OpenCV（三十九）：积分图像

【Electron 拦截请求实现自定义网络处理】

Pytest系列-内置标签skip和skipif 跳过测试用例的详细使用（5）

华为云云耀云服务器L实例评测｜docker 常用操作命令

RJ45网络信号浪涌保护器解决方案

SoC性能指标ARM内核运算能力

做网站banner图必备的/网店营销策划方案ppt

wordpress 动态特效/产品宣传

学生网页设计成品网站/千锋教育培训怎么样

免费文字logo生成器/厦门关键词优化平台

商城网站建设是什么/东莞做网站的联系电话

网站建设应用权限/百度搜索推广登录入口