淺談session,cookie,sessionStorage,localStorage的區別及應用場景
瀏覽器的緩存機制提供了可以將用戶數據存儲在客戶端上的方式,可以利用cookie,session等跟服務端進行數據交互。
一、cookie和session
cookie和session都是用來跟蹤瀏覽器用戶身份的會話方式。
區別:
1、保持狀態:cookie保存在瀏覽器端,session保存在服務器端
2、使用方式:
(1)cookie機制:如果不在瀏覽器中設置過期時間,cookie被保存在內存中,生命周期隨瀏覽器的關閉而結束,這種cookie簡稱會話cookie。如果在瀏覽器中設置了cookie的過期時間,cookie被保存在硬盤中,關閉瀏覽器後,cookie數據仍然存在,直到過期時間結束才消失。
Cookie是服務器發給客戶端的特殊信息,cookie是以文本的方式保存在客戶端,每次請求時都帶上它
(2)session機制:當服務器收到請求需要創建session對象時,首先會檢查客戶端請求中是否包含sessionid。如果有sessionid,服務器將根據該id返回對應session對象。如果客戶端請求中沒有sessionid,服務器會創建新的session對象,並把sessionid在本次響應中返回給客戶端。通常使用cookie方式存儲sessionid到客戶端,在交互中瀏覽器按照規則將sessionid發送給服務器。如果用戶禁用cookie,則要使用URL重寫,可以通過response.encodeURL(url) 進行實現;API對encodeURL的結束為,當瀏覽器支持Cookie時,url不做任何處理;當瀏覽器不支持Cookie的時候,將會重寫URL將SessionID拼接到訪問地址後。
3、存儲內容:cookie只能保存字符串類型,以文本的方式;session通過類似與Hashtable的數據結構來保存,能支持任何類型的對象(session中可含有多個對象)
4、存儲的大小:cookie:單個cookie保存的數據不能超過4kb;session大小沒有限制。
5、安全性:cookie:針對cookie所存在的攻擊:Cookie欺騙,Cookie截獲;session的安全性大於cookie。
原因如下:(1)sessionID存儲在cookie中,若要攻破session首先要攻破cookie;
(2)sessionID是要有人登錄,或者啟動session_start才會有,所以攻破cookie也不一定能得到sessionID;
(3)第二次啟動session_start後,前一次的sessionID就是失效了,session過期後,sessionID也隨之失效。
(4)sessionID是加密的
(5)綜上所述,攻擊者必須在短時間內攻破加密的sessionID,這很難。
6、應用場景:
cookie:(1)判斷用戶是否登陸過網站,以便下次登錄時能夠實現自動登錄(或者記住密碼)。如果我們刪除cookie,則每次登錄必須從新填寫登錄的相關信息。
(2)保存上次登錄的時間等信息。
session:Session用於保存每個用戶的專用信息,變量的值保存在服務器端,通過SessionID來區分不同的客戶。
(1)網上商城中的購物車
(2)保存用戶登錄信息
(3)將某些數據放入session中,供同一用戶的不同頁面使用
(4)防止用戶非法登錄
7、缺點:cookie:(1)大小受限
(2)用戶可以操作(禁用)cookie,使功能受限
(3)安全性較低
(4)有些狀態不可能保存在客戶端。
(5)每次訪問都要傳送cookie給服務器,浪費帶寬。
(6)cookie數據有路徑(path)的概念,可以限制cookie只屬於某個路徑下。
session:(1)Session保存的東西越多,就越占用服務器內存,對於用戶在線人數較多的網站,服務器的內存壓力會比較大。
(2)依賴於cookie(sessionID保存在cookie),如果禁用cookie,則要使用URL重寫,不安全
(3)創建Session變量有很大的隨意性,可隨時調用,不需要開發者做精確地處理,所以,過度使用session變量將會導致代碼不可讀而且不好維護。
二、WebStorage
WebStorage的目的是克服由cookie所帶來的一些限制,當數據需要被嚴格控制在客戶端時,不需要持續的將數據發回服務器。
WebStorage兩個主要目標:(1)提供一種在cookie之外存儲會話數據的路徑。(2)提供一種存儲大量可以跨會話存在的數據的機制。
淺談session,cookie,sessionStorage,localStorage的區別及應用場景