Session 与 Cookie 的关系和区别详解

Question

Session 与 Cookie 最主要的区别就是，Session 是以对象的形式保存在服务器端，而 Cookie 则是以字符串的 形式保存在客户端。HTTP 协议是一种无连接的协议，当客户端发出一个请求时，它们之间就会建立一个连接，等服务器响应了这个请求，这个连接就会被断开，这时候服务器再也不记得先前与客户端的那次亲密接触，一些用户信息当然也就消失了。

Cookie 就是为了处理这类的情况的，它可以把用户的信息储存起来。比如用户登录到某个网站，服务器把用户登录的信息保存到客户端的 Cookie 中，这样用户感觉这个网站已经记着了自己。但是 Cookie 有它的缺点不宜存储过长的数据。

而且 Cookie 是以文件的形式保存在客户端的磁盘上，所以一 些重要数据很容易被修改，比如用户购买一些东西之后，修改自己的余额，然后提交给服务器，这种行为是一定不能允许的。而 Session 就能保证数据的安 全，因为它是保存在服务器上的，服务器通过一个唯一的 SessionID 来区别不同的用户。这个 SessionID 就保存在客户端的 Cookie中（默认）或者重定向到URL里。

现在就来看看为什么要把 SessionID 保存到 Cookie 中，当我们打开一个新的窗口时，系统会分配一个新的 SessionID，这样服务器就会认为是不同的用户发出的请求，比如有这样一个程序：

session_start();
if(!$_SESSION['val']){
  $_SESSION['val']=1;
}else{
  $val=$_SESSION['val'];
  $val++;
  $_SESSION['val']=$val;
}
echo $_SESSION['val'];

每次刷新页面，都会的到不同的累加值。但是如果我在浏览器的配置里禁用了 Cookie，再刷新页面，发现这个值没有变化，永远是1。系统给每次刷新的页面分配了新的 SessionID。每次打开新的页面时，系统就会看 Cookie 中的是否有 sessionID，如果有就不会分配新的 sessionID。当然还有别的办法记住 sessionID，那就是重写在url里。

虽然 Session 是保存在服务器端的，但它也是依靠 Cookie 来实现其功能的。

Cookie 机制

正统的 Cookie 分发是通过扩展 HTTP 协议来实现的，服务器通过在 HTTP 的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的 Cookie。然而纯粹的客户端脚本如JavaScript 或者 VBScript 也可以生成 Cookie。而 Cookie 的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的 Cookie，如果某个 Cookie 所声明的作用范围大于等于将要请求的资源所在的位置，则把该 Cookie 附在请求资源的 HTTP 请求头上发送给服务器。

Cookie 的内容主要包括：名字、值、过期时间、路径和域。路径与域一起构成 Cookie 的作用范围。若不设置过期时间，则表示这个 Cookie 的生命期为浏览器会话期间，关闭浏览器窗口，Cookie 就消失。这种生命期为浏览器会话期的 Cookie 被称为会话 Cookie。会话 Cookie 一般 不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把 Cookie 保存到硬盘上，关闭后再次打开浏览器，这些 Cookie 仍然有效直到超过设定的过期时间。存储在硬盘上的 Cookie 可以在不同的浏览器进程间共享，比如两个 IE 窗口。而对于保存在内存里的 Cookie，不同的浏览器有不同的处理方式

Session 机制

Session 机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

当程序需要为某个客户端的请求创建一个 Session 时，服务器首先检查这个客户端的请求里是否已包含了一个 Session 标识（称为 Session ID），如果已包含则说明以前已经为此客户端创建过 Session，服务器就按照 Session ID 把这个 Session 检索出来使用（检索不到，会新建一个），如果客户端请求不包含 Session ID，则为此客户端创建一个 Session 并且生成一个与此 Session 相关联的 Session ID，Session ID 的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 Session ID 将被在本次响应中返回给客户端保存。

保存这个 Session ID 的方式可以采用 Cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个 Cookie 的名字都是类似于 SEEESIONID。但 Dookie 可以被人为的禁止，则必须有其他机制以便在 Cookie 被禁止时仍然能够把 Session ID 传递回服务器。

经常被使用的一种技术叫做 URL 重写，就是把 Session ID 直接附加在 URL 路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把 Session ID传递回服务器。比如：

<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>

实际上这种技术可以简单的用对 Action 应用 URL 重写来代替。