session和cookie 区别——面试高频问题
面试:谈谈Cookie和Session的区别?
- 首先呢,Cookie属于客户端技术,当客户端第一次访问服务器时,在服务器端创建Cookie对象,使用response的响应头 将Cookie发送给浏览器保存起来。当浏览器再次访问服务器该项目时,浏览器会自动将Cookie发送过来,那么在服务端就可以继续从Cookie中取值或者存储值,当浏览器关闭后,Cookie数据被销毁;原理上看,session依赖cookie;
- 其次,储存的物理大小与区域不同,Cookie有大小限制,只能存储字符串数据类型,并且是不太重要,不敏感的数据 ,储存在浏览器,其cookie的个数也有限制;Session是没有大小限制,能够存储任意类型,大小与服务器的内存大小有关。
- 从安全性上来说,Cookie有安全隐患,通过拦截或本地文件找得到你的cookie后,可以进行攻击。
- 从**生命周期(储存时间)**来看,Session是保存在服务器端上,默认是保存30min才会消失;可以进行销毁:服务器关闭(正常关闭可以获取数据,非正常关闭就彻底获取不到数据了);2.手动调用 invalidate();3.默认30分钟到期,会自动删除。
面试:谈谈session的原理?
1、session是保存在服务器端,理论上是没有限制,只要你的内存够大。
2、浏览器第一次访问服务器时会创建一个session对象并返回一个JSESSIONID=ID的值,创建一个Cookie对象key为JSSIONID,value为ID的值,将这个Cookie写回浏览器。
3、浏览器在第二次访问服务器的时候携带Cookie信息JSESSIONID=ID的值,如果该JSESSIONID的session已经销毁,那么会重新创建一个新的session再返回一个新的JSESSIONID通过Cookie返回到浏览器
4、针对一个web项目,一个浏览器是共享一个session,就算有两个web项目部署在同一个服务器上,针对两个项目的session是不同的,如:你在tomcat上同时部署了两个web项目,分别是web1、web2。当你在一个浏览器上同时访问web1时创建的session是A1,访问web2时创建的session是A2。后面你再多次访问web1使用的session还是A1,多次访问web2时使用session就是A2
5、session是基于Cookie技术实现,重启浏览器后再次访问原有的连接依然会创建一个新的session,因为Cookie在关闭浏览器后就会消失,但是原来服务器的Session还在,只有等到了销毁的时间会自动销毁
6、如果浏览器端禁用了Cookie,那么每次访问都会创建一个新的Session,但是我们可以通过服务器端程序重写URL即可,如果页面多连接多,会增加不必要的工作量,那可以强制让你用户开启接收Cookie后再让其访问即可。
大白话:当你一次访问服务器的时候,服务器会在内存中开辟一块空间,返回唯一一把打开该空间的钥匙,再把这把钥匙返回到浏览器。
当你第二次访问的时候浏览器会携带这把钥匙到服务器端打开对应的空间,如果该空间已经销毁又重新返回开辟一块新的空间返回新的钥匙到浏览器。