1.背景介紹

什麼是CookieCookie
是在HTTP協議下，伺服器或指令碼可以維護客戶工作站上資訊的一種方式。Cookie 是由 Web伺服器儲存在使用者瀏覽器（客戶端）上的小文字檔案(內容通常經過加密)，它可以包含有關使用者的資訊。無論何時使用者連結到伺服器，Web站點都可以訪問Cookie 資訊,可以看作是瀏覽器快取。
什麼是Session

Session的定義很抽象,在不同的場合中session一詞的含義也很不相同.它可以代表伺服器與瀏覽器的一次會話過程,指從一個瀏覽器視窗開啟到關閉的這個期間.也可以用於指一類用來在客戶端與伺服器之間保持狀態的解決方案.
2.知識剖析

Cookie機制
Cookie需要解決三個問題：分發、內容和使用。
cookie的分發是通過擴充套件HTTP協議來實現的，伺服器端通過在HTTP的響應由中加上一行特殊的指示以提示瀏覽器按照指示生成相應的cookie。
cookie的內容主要包括name(名字)、value(值)、maxAge(失效時間)、path(路徑),domain(域)和securename：cookie的名字，一旦建立，名稱不可更改。
value：cookie的值，如果值為Unicode字元，需要為字元編碼。
如果為二進位制資料，則需要使用BASE64編碼.maxAge：cookie失效時間，單位秒。如果為正數，則該cookie在maxAge後失效。
如果為負數，該cookie為臨時cookie，關閉瀏覽器即失效，瀏覽器也不會以任何形式儲存該cookie。
如果為0，表示刪除該cookie。
預設為-1path：該cookie的使用路徑。如果設定為"/sessionWeb/"，則只有ContextPath為“/sessionWeb/”的程式可以訪問該cookie。
如果設定為“/”，則本域名下ContextPath都可以訪問該cookie。
domain:域.可以訪問該Cookie的域名。第一個字元必須為".",如果設定為".google.com",則所有以"google.com結尾的域名都可以訪問該cookie",如果不設定,則為所有域名secure：該cookie是否僅被使用安全協議傳輸。
cookie的使用是由瀏覽器按照一定的原則在後臺自動傳送給伺服器。
瀏覽器檢查所有儲存的cookie，如果某個cookie所宣告的作用範圍大於等於將要請求的資源所在的位置，則把該cookie附在請求資源的HTTP請求頭上傳送給伺服器.
Session機制
Session機制是一種服務端的機制，伺服器使用一種類似散列表的結構來儲存資訊。
當程式需要為某個客戶端的請求建立一個session的時候，伺服器首先檢查這個客戶端裡的請求裡是否已包含了一個session標識–sessionID，如果已經包含一個sessionID，則說明以前已經為此客戶端建立過session，伺服器就按照sessionID把這個session檢索出來使用（檢索不到，可能會新建一個），如果客戶端請求不包含sessionID，則為此客戶端建立一個session並且聲稱一個與此session相關聯的sessionID，sessionID的值應該是一個既不會重複，又不容易被找到規律以仿造的字串(伺服器會自動建立),這個sessionID將被在本次響應中返回給客戶端儲存。
儲存sessionID的方式1，使用Cookie.此時Cookie不再用作認證,只是作為載體,儲存sessionID2，URL重寫：因為cookie可以被人為禁止，所以為了保證sessionID能夠被傳遞給伺服器，使用URL重寫也是一種解決方法。
如,href="<%=response.encodeURL(“index.jsp”) %>"寫好後URL是這樣的href="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E"3, 隱藏表單提交。
將sessionId放在隱藏表單中實際上這幾種方式最方便的還是cookie,其他兩種方式都各有弊端,URL重寫的弊端是要對所有的URL都重寫,非常繁瑣.表單隱藏欄位的弊端是隻能侷限於表單提交,如果是單純的文字連結則不能提供會話跟蹤Cookie和Session之間的區別：1.Cookie資料存放在客戶的瀏覽器(本地),session資料放在伺服器上；
2.Cookie不如session安全，別人可以分析存放在本地的Cookie並進行Cookie欺騙,所以出於安全性的考慮應當使用Session；
3.Session會在一定時間內儲存在伺服器上。當訪問增多,會佔用較多的伺服器資源,所以出於效能考慮則應當使用cookie；
單個cookie儲存的資料不能超過4k,很多瀏覽器都限制一個站點最多儲存20個cookie.實際上為了效能考慮,不論是cookie還是session,其中的資訊都應當短小精悍，session因為是儲存在伺服器上,所以不支援跨域的訪問。
擴充套件思考使用cookie和session的具體場景一般來說,登陸驗證資訊,客戶的私人資訊,如姓名,電話等,應該放在Session中.Cookie則用於使用者登陸網站時的自動登陸以及類似"購物車"的處理.使用Cookie儲存資訊時最好通過加密形式來儲存資料,同時是否儲存登陸資訊,需要由使用者自行選擇。
文章來自：

https://www.itjmd.com/news/show-4293.html