Http协议COOKIE和SESSION有什么区别

网络搜索一下都说cookie保存在客户端,比较不安全;session保存在服务器端,比较安全。

cookie目的可以跟踪会话,也可以保存用户喜好或者保存用户名密码,session用来跟踪会话。
建议用户名,密码保存在session,其它信息可保存在cookie。
先来了解一下各自的工作机制
1. cookie的工作机制
1、服务器向客户端响应请求的时候,会在响应头中设置set-cookie的值,其值的格式通常是name = value的格式
2、浏览器将 cookie 保存下来
3、每次请求浏览器都会自动将 cookie 发向服务器
【Http协议COOKIE和SESSION有什么区别】4、cookie最初是在客户端用于存储会话信息的。
Http协议COOKIE和SESSION有什么区别
文章图片
2. session的机制
1、当客户端第一次请求session对象时,服务器会创建一个session,并通过特殊算法算出一个session的ID,用来标识该session对象,然后将这个session序列放置到set-cookie中发送给浏览器
2、浏览器下次发请求的时候,这个sessionID会被放置在请求头中,和cookie一起发送回来
3、服务器再通过内存中保存的sessionID跟cookie中保存的sessionID进行比较,并根据ID在内存中找到之前创建的session对象,提供给请求使用,也就是服务器会通过session保存一个状态记录,浏览器会通过cookie保存状态记录,服务器通过两者的对比实现跟踪状态,这样的做,也极大的避免了cookie被篡改而带来的安全性问题
4、由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,另一种是作为查询字符串附加在URL后面
Http协议COOKIE和SESSION有什么区别
文章图片
总之,cookie、session都会保存在浏览器,都会向服务器请求,只是实现的工作机制不同,使用的场景不同,本人更倾向使用session。

    推荐阅读