session: 保存在服务端,随着服务端的死亡而死亡,或者是超过sesison设置的过期时间死亡(默认30分钟)。
cookie:保存在客户端,在不持久话的情况下随着浏览器的关闭而失效。
首先介绍一下用户登录的相关解决方案:
单体应用:
1.使用session,用户信息保存在session中,关闭会话即重新登录(荐)
2.使用cookie,用户登录信息保存在cookie中,cookie失效重新登录
分布式应用:
1.使用cookie,用户登录信息保存在cookie中,cookie失效重新登录(荐)2.session共享(多种方式),用户信息保存在session中,关闭会话即重新登录
3.粘性session,也就是每次都访问一个服务器,会话关闭重新登录,故障转移时重新登录,
4.session复制,每一个服务都有这个session,会话关闭重新登录(影响性能)
这里就不介绍每种方案的实现了。
下面介绍一下session和sessionid
sessionid相当于是一个指向session的地址的常量,sessionid丢失不会导致session失效。
对于URL携带sessionid这种方式会导致一些不安全的因素,比如在url中修改sessionid可能会碰到其他已经登录用户的session,即可以获取到他的登录信息。