cookie机制和session机制的区别

1、jsp和servlet的区别、共同点、各自应用的范围？？JSP是Servlet技术的扩展，本质上就是Servlet的简易方式。

JSP编译后是“类servlet”。

Servlet和JSP最主要的不同点在于，Servlet的应用逻辑是在Java文件中，并且完全从表示层中的HTML里分离开来。

而JSP的情况是Java和HTML可以组合成一个扩展名为.jsp的文件。

JSP侧重于视图，Servlet主要用于控制逻辑。

在struts框架中,JSP位于MVC设计模式的视图层,而Servlet位于控制层.2、cookie和session的作用、区别、应用范围，session的工作原理Cookie:主要用在保存客户端，其值在客户端与服务端之间传送，不安全，存储的数据量有限。

Session:保存在服务端，每一个session在服务端有一个sessionID作一个标识。

存储的数据量大，安全性高。

占用服务端的内存资源。

3、jstl是什么？优点有哪些？？JSTL（JSP Standard Tag Library，JSP标准标签库)是一个不断完善的开放源代码的JSP标签库，由四个定制标记库（core、format、xml和sql）和一对通用标记库验证器（ScriptFreeTLV和PermittedTaglibsTLV）组成。

优点有：最大程序地提高了WEB应用在各应用服务器在应用程序服务器之间提供了一致的接口，最大程序地提高了1、在应用程序服务器之间提供了一致的接口，之间的移植。

2、简化了JSP和WEB应用程序的开发。

3、以一种统一的方式减少了JSP中的scriptlet代码数量，可以达到没有任何scriptlet 代码的程序。

在我们公司的项目中是不允许有任何的scriptlet代码出现在JSP中。

4、允许JSP设计工具与WEB应用程序开发的进一步集成。

相信不久就会有支持JSTL的IDE 开发工具出现。

4、j2ee的优越性主要表现在哪些方面？MVC模式a、J2EE基于JAVA技术，与平台无关b、J2EE拥有开放标准，许多大型公司实现了对该规范支持的应用服务器。

HTTP协议简介关于HTTP协议的基本介绍。

HTTP协议是基于TCP/IP协议之上的应⽤层协议，主要⽤于规定互使⽤联⽹中客户端和服务器之间的通信格式，不关⼼具体传输细节，默认80端⼝。

对于Web开发，不管是前端还是后端开发，了解HTTP协议是必备的⼀些基本知识。

发展历程HTTP/0.9于1991年发布，只有⼀个GET命令，返回HTML格式内容。

HTTP/1.0于1996年5⽉发布，增加POST、HEAD命令，传输内容可以说任意格式，不再仅限于HTML，并且报⽂规定了⼀些元数据字段，⽐如字符集、状态码、编码、缓存等。

HTTP/1.1于1997年1⽉发布，增加PUT\PATCH\DELETE等命令，并新增了⼀些功能机制:持久连接(keep-alive可保持长连接，减少重复请求)。

管道机制(pipelining，⼀个TCP连接中客户端可同时发送多个请求)。

Content-Length字段（报⽂内容长度）。

Host字段(⽤于指定服务器域名，可以将请求发往同⼀台服务器的不同站点)。

1.1版本基本完善了HTTP协议，并且⼀直使⽤⾄今仍然是⽬前最流⾏的版本。

SPDY于2009年由⾕歌研发，使⽤多种新特性提⾼HTTP/1.1版本效率不⾼的问题。

作为HTTP/2版本草案，在HTTP/2发布后已停⽌使⽤。

HTTP/2于2015年发布，基于⾕歌的SPDY协议之上进⾏了⼩部分修改。

主要有以下特点：⼆进制协议(HTTP/1.1版本头信息使⽤⽂本格式，数据体可以是⽂本或⼆进制格式，⽽HTTP/2版本则全部使⽤⼆进制格式,⽅便将来扩展)。

多⼯传输(复⽤TCP连接，双向实时通信，客户端服务器可同时发送多个请求和响应，并且不需要按照请求顺序回应，避免队头阻塞问题)。

头信息压缩(HTTP协议是⽆状态的，因此很多请求都需要带上Cookie、User Agent等重复字段，影响效率。

HTTP/2使⽤gzip、compress等算法压缩头信息后，并且在客户端和服务器都维护⼀张头信息表，记录这些字段，从⽽提⾼速度)。

cookie面试题一、什么是Cookie面试题Cookie面试题是指在招聘过程中常见的与Cookie相关的问题，用于测试候选人对于Cookie的理解和应用能力。

在一些技术岗位的面试中，经常会出现与Cookie有关的面试题，因为Cookie是Web开发中非常重要的概念之一。

二、Cookie面试题的分类根据Cookie的特性和应用场景，Cookie面试题可以分为以下几类：1. 什么是Cookie？这类问题是对候选人对Cookie基本概念的了解进行考察，通常会涉及Cookie的定义、作用、存储方式等。

2. Cookie的工作原理是什么？这类问题是对候选人对Cookie实现原理的掌握程度进行考察，通常会涉及Cookie的生成、发送、存储和读取过程。

3. Cookie和Session的区别是什么？这类问题是对候选人对Cookie和Session的了解程度进行考察，通常会比较Cookie和Session在存储方式、有效期、安全性等方面的区别。

4. 如何使用Cookie实现用户登录状态的保持？这类问题是对候选人对Cookie在用户登录状态保持方面的应用能力进行考察，通常候选人需要介绍使用Cookie来实现用户登录状态保持的步骤和原理。

5. 如何解决Cookie跨域问题？这类问题是对候选人对Cookie跨域访问限制的理解和解决方案的能力进行考察，通常候选人需要介绍跨域访问限制的原因和解决方案。

三、如何准备Cookie面试题准备Cookie面试题需要注意以下几点：1. 对Cookie的基本概念和工作原理进行充分了解在面试前，候选人应该对Cookie的定义、作用、存储方式、工作原理等基本概念进行充分了解，并能够清楚地表达出来。

2. 理解Cookie与Session的区别Cookie和Session是Web开发中常用的会话管理机制，候选人应该清楚它们的区别并能够简明扼要地解释出来。

3. 掌握Cookie的应用场景和常见问题除了基本概念和工作原理，候选人还应该关注Cookie在实际开发中的应用场景和常见问题，例如如何保证Cookie的安全性、如何处理Cookie过期等。

Flask中的session机制cookie和sessioncookie：⽹站中，http请求是⽆状态的，第⼀次和服务器连接后并且登陆成功后，第⼆次请求服务器依然不能知道当前请求是哪个⽤户。

cookie的出现就是解决了改问题，第⼀次登陆后服务器返回数据（cookie是存储数据的⼀种格式）给浏览器，然后浏览器保存到本地，⽤户第⼆次请求的时候，就会携带cookie数据⾃动携带给服务器，服务器通过浏览器携带的数据就能判断当前⽤户。

cookie存储数据有限，不同浏览器不同的存储⼤⼩，但⼀般不超过4kb，因此cookie只能存储⼩量数据。

session：session与cookie类似，都是存储⽤户相关信息，不同的是cookie存储在本地浏览器，session存储在服务器，存储在服务器的数据会更安全。

但是存储在服务器会占⽤服务器的资源。

cookie和session的结合使⽤：存储在服务端：通过cookie存储⼀个session_id，具体数据保存在session（存储数据的⽅式）中。

⽤户如果已经登陆服务器会在cookie中保存⼀个session_id，下次请求的时候会把sessin_id携带上来，服务器根据session_id在session库中获取⽤户的session数据，就可以知道⽤户是谁。

专业术语叫：sever side sessionflask中将session数据加密，存储在cookie中，专业术语叫client side session。

flask采⽤的就是这个⽅式。

flask中的sessionflask中的session机制是：把敏感数据加密后放⼊session中，然后把session存放到cookie中，下次请求的时候，从浏览器发来的cookie中读取session，再从session中读取敏感数据，并进⾏解密，来获取⽤户数据flask的这种session机制，可以节省服务器的开销，因为把所有的信息都存储到了客户端。

电⼦商务⽹站购物车数据的储存⽅式今天研究了下电⼦商务⽹站购物车数据的储存⽅式，总结如下：实现购物车的关键在于服务器识别每⼀个⽤户并维持与他们的联系。

但是HTTP协议是⼀种“⽆状态(Stateless)”的协议，因⽽服务器不能记住是谁在购买商品，当把商品加⼊购物车时，服务器也不知道购物车⾥原先有些什么，使得⽤户在不同页⾯间跳转时购物车⽆法“随⾝携带”，这都给购物车的实现造成了⼀定的困难。

⽬前购物车的实现主要是通过cookie、session或结合数据库的⽅式。

下⾯分析⼀下它们的机制及作⽤。

cookiecookie是由服务器产⽣，存储在客户端的⼀段信息。

它定义了⼀种Web服务器在客户端存储和返回信息的机制，cookie⽂件它包含域、路径、⽣存期、和由服务器设置的变量值等内容。

当⽤户以后访问同⼀个Web服务器时，浏览器会把cookie原样发送给服务器。

通过让服务器读取原先保存到客户端的信息，⽹站能够为浏览者提供⼀系列的⽅便，例如在线交易过程中标识⽤户⾝份、安全要求不⾼的场合避免⽤户重复输⼊名字和密码、门户⽹站的主页定制、有针对性地投放⼴告等等。

利⽤cookie的特性，⼤⼤扩展了WEB应⽤程序的功能，不仅可以建⽴服务器与客户机的联系，因为cookie可以由服务器定制，因此还可以将购物信息⽣成cookie值存放在客户端，从⽽实现购物车的功能。

⽤基于cookie的⽅式实现服务器与浏览器之间的会话或购物车，有以下特点：1. cookie存储在客户端，且占⽤很少的资源，浏览器允许存放300个cookie，每个cookie的⼤⼩为4KB，⾜以满⾜购物车的要求，同时也减轻了服务器的负荷；2. cookie为浏览器所内置，使⽤⽅便。

即使⽤户不⼩⼼关闭了浏览器窗⼝，只要在cookie定义的有效期内，购物车中的信息也不会丢失；3. cookie不是可执⾏⽂件，所以不会以任何⽅式执⾏，因此也不会带来病毒或攻击⽤户的系统；4. 基于cookie的购物车要求⽤户浏览器必须⽀持并设置为启⽤cookie，否则购物车则失效；5. 存在着关于cookie侵犯访问者隐私权的争论，因此有些⽤户会禁⽌本机的cookie功能。

会话技术、Cookie、Session和课程思政1. 会话技术是指全球信息湾在用户访问期间存储和检索信息的方式。

它有助于全球信息湾保持用户登录状态和跟踪用户的活动。

但是，要理解会话技术，就必须先理解Cookie和Session的概念。

2. Cookie是一种在用户计算机上存储数据的小型文本文件，它由全球信息湾创建，并由用户的浏览器保存。

在全球信息湾和用户之间交换信息时，Cookie会被发送到服务器，从而实现会话跟踪和用户认证等功能。

Cookie是会话技术的基础，也是全球信息湾保持用户状态的基础。

3. Session是指在服务器端保存用户信息的机制。

当用户访问全球信息湾时，服务器会为其创建一个唯一的会话标识，并在会话期间保存用户数据。

这样，用户在不同页面之间可以共享数据，并且服务器可以根据用户的会话信息来维护用户状态。

4. 课程思政作为一种教育理念，强调高校课程的思想性、原则性和针对性。

它旨在通过课程教学，引导学生坚定正确的人生观、价值观和世界观，培养社会主义核心价值观，传承中华优秀传统文化，树立正确的历史观和民族观。

5. 在当今数字化和信息化的时代，会话技术也扮演着至关重要的角色。

在在线课程教学中，会话技术能够帮助学校和学生保持登录状态，支持在线学习的流畅进行，提高用户体验。

6. 结合会话技术和课程思政的话题，可以从以下几个方面展开讨论：- 如何利用会话技术来支持课程思政的在线教学？- 在网络教学中，如何保障学生的个人信息安全和隐私保护？- 会话技术对于课程内容推送和学习路径设计的影响。

- 课程思政如何引导学生正确理解和应用会话技术？- 会话技术在课程思政实践中的应用案例和发展趋势。

7. 通过对会话技术、Cookie、Session和课程思政的深度分析，可以促使人们更深入地理解数字化时代的教育和技术发展。

也有助于引导学生正确应用和理解技术，并注重技术背后的人文关怀和社会责任。

总结：会话技术作为支持在线教学和全球信息湾用户体验的重要技术之一，与课程思政的结合，不仅能促进教育模式的创新，也有助于引导学生正确应用和理解技术。

⾯试题（14）--session、cookie、token的区别sessionsession的中⽂翻译是“会话”，当⽤户打开某个web应⽤时，便与web服务器产⽣⼀次session。

服务器使⽤session把⽤户的信息临时保存在了服务器上，⽤户离开⽹站后session会被销毁。

这种⽤户信息存储⽅式相对cookie来说更安全，可是session有⼀个缺陷：如果web服务器做了负载均衡，那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。

cookiecookie是保存在本地终端的数据。

cookie由服务器⽣成，发送给浏览器，浏览器把cookie以kv形式保存到某个⽬录下的⽂本⽂件内，下⼀次请求同⼀⽹站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加⼊了⼀些限制确保cookie不会被恶意使⽤，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，⼀般设置为全局:"\")、失效时间、安全标志(指定后，cookie 只有在使⽤SSL连接时才发送到服务器(https))。

下⾯是⼀个简单的js使⽤cookie的例⼦:⽤户登录时产⽣cookie:document.cookie = "id="+result.data['id']+"; path=/";document.cookie = "name="+result.data['name']+"; path=/";document.cookie = "avatar="+result.data['avatar']+"; path=/";使⽤到cookie时做如下解析：var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];}$('#user_name').text(user_info[' name']);$('#user_avatar').attr("src", user_info[' avatar']);$('#user_id').val(user_info[' id']);tokentoken的意思是“令牌”，是⽤户⾝份的验证⽅式，最简单的token组成:uid(⽤户唯⼀的⾝份标识)、time(当前时间的时间戳)、sign(签名，由token的前⼏位+盐以哈希算法压缩成⼀定长的⼗六进制字符串，可以防⽌恶意第三⽅拼接token请求服务器)。

带你了解session和cookie作⽤原理区别和⽤法Cookie概念在浏览某些⽹站时,这些⽹站会把⼀些数据存在客户端,⽤于使⽤⽹站等跟踪⽤户,实现⽤户⾃定义功能.是否设置过期时间:如果不设置过期时间,则表⽰这个 Cookie⽣命周期为浏览器会话期间 , 只要关闭浏览器,cookie就消失了.这个⽣命期为浏览会话期的cookie,就是会话Cookie;存储:⼀般保存在内存,不在硬盘;如果设置了过期时间, 浏览器会把cookie保存在硬盘上,关闭再打开浏览器, 这些cookie依然有效直到超过的设置过期时间;存储在硬盘上的Cookie可以在不同的浏览器进程间共享，⽐如两个IE窗⼝。

⽽对于保存在内存的Cookie，不同的浏览器有不同的处理⽅式。

原理:如果浏览器使⽤的是 cookie，那么所有的数据都保存在浏览器端，⽐如你登录以后，服务器设置了 cookie⽤户名(username),那么，当你再次请求服务器的时候，浏览器会将username⼀块发送给服务器，这些变量有⼀定的特殊标记。

服务器会解释为 cookie变量。

所以只要不关闭浏览器，那么 cookie变量便⼀直是有效的，所以能够保证长时间不掉线。

如果你能够截获某个⽤户的 cookie变量，然后伪造⼀个数据包发送过去，那么服务器还是认为你是合法的。

所以使⽤cookie被攻击的可能性⽐较⼤。

如果设置了的有效时间，那么它会将 cookie保存在客户端的硬盘上，下次再访问该⽹站的时候，浏览器先检查有没有cookie，如果有的话，就读取该 cookie，然后发送给服务器。

如果你在机器上⾯保存了某个论坛 cookie，有效期是⼀年，如果有⼈⼊侵你的机器，将你的 cookie拷⾛，然后放在他的浏览器的⽬录下⾯，那么他登录该⽹站的时候就是⽤你的的⾝份登录的。

所以 cookie是可以伪造的。

当然，伪造的时候需要主意，直接copy cookie⽂件到 cookie⽬录，浏览器是不认的，他有⼀个index.dat⽂件，存储了 cookie⽂件的建⽴时间，以及是否有修改，所以你必须先要有该⽹站的 cookie⽂件，并且要从保证时间上骗过浏览器，曾经在学校的vbb论坛上⾯做过试验，copy别⼈的 cookie登录，冒⽤了别⼈的名义发帖⼦，完全没有问题。

String username = "1234567899"; String regex1 = "^[a-zA-Z0-9]{5,12}$";String regex2 = "^\\w{1,}[@]\\w{1,}[.]\\w{1,}[.]?\\w{1,}$";//email 写法 String email = "^[a-zA-Z0-9_-]+[@][a-zA-Z0-9_-]+((.com)|(.net))$"; String regex4 = "^\\w{1,}(.com|.cn)$";String regex3 = "^\\d{3,4}[| -]?\\d{7,8}$";//电话号码,空格不能在最后 String userReg = "^[a-zA-Z0-9_]{5,12}$"; // 用户名5-12位 字母数字，_ String numberReg = "^\\d{6,8}$"; // 6-8位数字String fpReg = "^[0-9]+[.]?\\d*$"; String telReg = "^(\\d{1,3}[-| ]?)?" +"\\d{3,4}[-| ]?\\d{7,8}[-| ]?(\\d{3,4})?$";servlet一、cookie 机制和session 机制的区别具体来说cookie 机制采用的是在客户端保持状态的方案，而session 机制采用的是在服务器端保持状态的方案。

同时我们也看到，由于在服务器端保持状态的方案在客户端也需要保存一个标识，所以session 机制可能需要借助于cookie 机制来达到保存标识的目的，但实际上还有其他选择。

二、会话cookie 和持久cookie 的区别如果不设置过期时间，则表示这个cookie 生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie 就消失了。

彻底搞懂Token、Session和CookieHTTP 是⽆状态的，全部的请求都是⽆状态的。

然⽽，某些情况下我们想让我们的状态能被记住。

⽐如，浏览⼀家在线商店，当我们把⾹蕉放到购物车中后，再去其他页⾯购买苹果时，并不希望我们的⾹蕉消失。

在在线商店的各个页⾯中穿梭时，我们是希望想我们的购买状态是能够被记住的！为了克服 HTTP 请求⽆状态的性质，我们可以使⽤ session 或者 token。

简单来说有两种⽅式可以记住⽤户的状态session和token都是⽤来保持会话，功能相同。

基于 Session基于 session 的认证中，⽤户登录后服务器会为登录⽤户创建⼀个 session，Cookie的验证是有状态的，sessionid 会保存在⽤户浏览器的 cookie 中。

当⽤户登录成功后，cookie 会随着后边的每个请求⼀起发送。

这样，服务器通过 cookie 中的 sessionid 找到内存中的 session 数据，来验证⽤户⾝份，从⽽在响应中返回相应的状态。

1.客户端发送⼀个http请求带着⽤户名密码到服务器端2.服务器端接受了客户端请求后，建⽴⼀个session，并发送⼀个http响应到客户端，这个响应头包括了set-cookie的头部，头部⾥⾯包括了sessionidset-cookie的格式如下 Set-Cookie:value [ ;expire=date ][ ;damain=domain ][ ;path=path ][ ;secure ]3.客户端发起第⼆次请求，服务器已经给了setcookie，浏览器⾃动在请求头上获取到cookie并分解验证信息成功后返回respense给客户端session的弊端：session是服务端存储的⼀个对象，主要⽤来存储所有访问过该服务端的客户端的⽤户信息（也可以存储其他信息），从⽽实现保持⽤户会话状态。

但是服务器重启时，内存会被销毁，存储的⽤户信息也就消失了。

session和cookie的应用场景和区别引言在现代Web开发中，session和cookie是常用的机制。

它们被广泛应用于用户验证、跟踪状态和数据存储等方面。

本文将介绍session和cookie的应用场景以及它们之间的区别。

session的应用场景session被用于在服务器端存储用户会话相关的信息。

下面是session的常见应用场景：1.用户认证：当用户成功登录后，服务器会创建一个session，将用户的身份信息存储在session中，以便在用户访问其他页面时进行认证。

2.购物车：在网上购物过程中，服务器可以使用session来存储用户添加到购物车中的商品信息。

这样，用户可以在不同的页面之间保持购物车的状态。

3.个性化设置：通过session，服务器可以存储用户的个性化设置，例如偏好语言、主题或布局等。

这样，用户在不同的设备或浏览器上访问网站时，可以保持一致的个性化设置。

4.数据缓存：服务器可以使用session来缓存一些频繁访问的数据，以减少对数据库或其他外部资源的访问。

这样可以提高网站的性能和响应速度。

cookie的应用场景cookie是一种存储在用户浏览器中的小型文本文件，它被用于在客户端存储一些用户相关的信息。

下面是cookie的常见应用场景：1.用户认证：服务器可以将一个包含用户认证信息的cookie发送给客户端浏览器，以便在用户的后续请求中进行认证。

2.记住登录状态：通过在客户端浏览器中设置一个包含用户登录状态的cookie，服务器可以在用户下次访问网站时自动登录用户，避免重复输入用户名和密码。

3.广告跟踪：通过在客户端浏览器中设置一个包含广告跟踪标识的cookie，广告商可以跟踪用户在网站上的行为，并向用户展示相关的广告。

4.网页统计和分析：通过在客户端浏览器中设置一个包含网页统计信息的cookie，服务器可以收集用户的访问数据，并进行网站流量分析。

session和cookie的区别尽管session和cookie在某些方面有相似之处，但它们在工作原理和应用场景上存在一些明显的区别。

网站测试中的Cookie与Session测试在进行网站测试时，Cookie与Session的测试是非常重要的一项任务。

Cookie与Session是用于在Web应用程序中跟踪用户会话状态的两种常用机制。

通过测试Cookie与Session的功能和性能，可以确保网站在处理用户会话时的安全性、可靠性和性能表现。

一、Cookie测试1.1 Cookie功能测试在Cookie功能测试中，可以验证以下方面：1.1.1 Cookie的创建和读取：验证网站是否能够正确地创建Cookie，并且能够在后续请求中读取Cookie的值。

1.1.2 Cookie的过期与失效：测试网站能否正确处理Cookie的过期和失效，包括验证过期时间设置、删除Cookie等功能。

1.1.3 Cookie的安全性：测试网站是否正确设置Cookie的安全标志，确保Cookie只能通过加密的连接传输，防止被劫持或篡改。

1.1.4 Cookie的作用域与路径：验证网站是否正确设置Cookie的作用域和路径，以保证Cookie只在需要的范围内生效，防止信息泄露或冲突。

1.2 Cookie性能测试在Cookie性能测试中，可以验证以下方面：1.2.1 Cookie的数目限制：测试网站对于Cookie数目的限制，以及对超出限制的处理，确保网站在大量Cookie情况下的正常工作。

1.2.2 Cookie的大小限制：测试网站对于单个Cookie的大小限制，以及对超出限制的处理，确保网站在处理大型Cookie时的性能表现。

1.2.3 Cookie的传输性能：测试网站在不同网络环境下，Cookie的传输速度和稳定性，以保证用户不因Cookie传输而导致延迟或失败。

二、Session测试2.1 Session功能测试在Session功能测试中，可以验证以下方面：2.1.1 Session的创建和读取：验证网站是否能够正确地创建Session，并且能够在后续请求中读取Session的值。

Cookie验证方法和Session验证方法引言随着互联网的快速发展，用户对于网站的安全性和隐私保护越来越关注。

在网站开发中，为了保护用户的数据和提供更好的用户体验，开发人员常常需要使用身份认证方法来验证用户身份。

本文将介绍两种常见的身份验证方法：Co ok ie验证和Se ss io n验证，以及它们的优缺点和使用场景。

1. Co okie验证方法C o ok ie验证方法是通过在用户的浏览器中存储一个唯一标识符来验证用户身份的一种方式。

具体实现步骤如下：1.服务器生成一个包含唯一标识符的Co o ki e，并在HT TP响应中将其发送给用户浏览器。

2.浏览器接收到Co ok i e后，将其存储在本地的C oo ki e文件中。

3.用户再次访问该网站时，浏览器会自动将存储在本地的Co o ki e添加到HT TP请求头中发送给服务器。

4.服务器接收到请求后，解析C oo ki e中的唯一标识符，通过与保存的用户信息进行对比来验证用户身份。

1.1优点-简单易实现：使用C o ok ie验证方法并不需要复杂的技术支持，只需在服务器端生成和解析C oo ki e即可。

-跨平台性好：由于C o ok i e存储在浏览器中，因此可以在不同的操作系统和设备上进行跨平台使用。

1.2缺点-安全性相对较低：C o ok ie中包含了用户的身份信息，如果存储在浏览器中的Co ok ie被劫持，可能会导致身份泄露或伪造。

-可被禁用：用户可以手动禁用浏览器的C oo ki e功能，从而无法进行正常的身份验证。

1.3使用场景-轻量级应用：对于一些对安全性要求不高的简单网站或应用，可以使用C oo ki e验证方法实现用户身份验证。

-可信任环境：在内部网络或受限环境下，可以使用C oo ki e验证方法作为便捷的身份验证方式。

2.S e s s i o n验证方法S e ss io n验证方法是通过在服务器端存储用户信息来验证用户身份的一种方式。

彻底理解cookie，session，token的使⽤及原理发展史1、很久很久以前，Web 基本上就是⽂档的浏览⽽已，既然是浏览，作为服务器，不需要记录谁在某⼀段时间⾥都浏览了什么⽂档，每次请求都是⼀个新的HTTP协议，就是请求加响应，尤其是我不⽤记住是谁刚刚发了HTTP请求，每个请求对我来说都是全新的。

这段时间很嗨⽪2、但是随着交互式Web应⽤的兴起，像在线购物⽹站，需要登录的⽹站等等，马上就⾯临⼀个问题，那就是要管理会话，必须记住哪些⼈登录系统，哪些⼈往⾃⼰的购物车中放商品，也就是说我必须把每个⼈区分开，这就是⼀个不⼩的挑战，因为HTTP请求是⽆状态的，所以想出的办法就是给⼤家发⼀个会话标识(session id), 说⽩了就是⼀个随机的字串，每个⼈收到的都不⼀样，每次⼤家向我发起HTTP请求的时候，把这个字符串给⼀并捎过来，这样我就能区分开谁是谁了3、这样⼤家很嗨⽪了，可是服务器就不嗨⽪了，每个⼈只需要保存⾃⼰的session id，⽽服务器要保存所有⼈的session id ！如果访问服务器多了，就得由成千上万，甚⾄⼏⼗万个。

这对服务器说是⼀个巨⼤的开销，严重的限制了服务器扩展能⼒，⽐如说我⽤两个机器组成了⼀个集群，⼩F通过机器A登录了系统，那session id会保存在机器A上，假设⼩F的下⼀次请求被转发到机器B怎么办？机器B可没有⼩F的 session id 啊。

有时候会采⽤⼀点⼩伎俩： session sticky ，就是让⼩F的请求⼀直粘连在机器A上，但是这也不管⽤，要是机器A挂掉了，还得转到机器B去。

那只好做session 的复制了，把session id 在两个机器之间搬来搬去，快累死了。

后来有个叫Memcached的⽀了招：把session id 集中存储到⼀个地⽅，所有的机器都来访问这个地⽅的数据，这样⼀来，就不⽤复制了，但是增加了单点失败的可能性，要是那个负责session 的机器挂了，所有⼈都得重新登录⼀遍，估计得被⼈骂死。

cookie、session和Storage概念：cookie：HTTP响应头的⼀部分，通过name=value的形式存储，主要⽤于保存登录信息。

在设置的cookie过期时间之前⼀直有效，即使窗⼝或浏览器关闭。

存放数据⼤⼩为4K左右。

有个数限制(各浏览器不同)，⼀般不能超过20个。

webstorage：本地存储，包括localStorage(本地存储)和sessionStorage(会话存储)，⼆者都保存在客户端，不与服务器进⾏交互通信，存储数据⼤⼩⼀般都是：5MB。

localStorage：⽣命周期是永久，这意味着除⾮⽤户清除localStorage信息，否则这些信息将永远存在。

应⽤场景：常⽤于长期登录或判断⽤户是否已登录。

sessionStorage：仅在当前会话下有效，关闭页⾯或浏览器后被清除。

应⽤场景：敏感账号⼀次性登录。

不同浏览器⽆法共享localStorage或sessionStorage中的信息。

相同浏览器的不同页⾯间可以共享相同的 localStorage（页⾯属于相同域名和端⼝），但是不同页⾯或标签页间⽆法共享sessionStorage的信息。

这⾥需要注意的是，页⾯及标签页仅指顶级窗⼝，如果⼀个标签页包含多个iframe标签且他们属于同源页⾯，那么他们之间是可以共享sessionStorage的。

WebStorage与cookie区别：存储⼤⼩：cookie为4KB，⽽WebStorage是5MB；⽣命周期：cookie在设定时间内⼀直有效，localStorage⼀直有效，sessionStorage浏览器未关闭前有效；服务器通信：cookie在HTTP头中，参与服务器通信，WebStorage不参与服务器通信；安全性：cookie随着HTTP头发送到服务器端，可能会被拦截，安全性相对较低；webStorage相对cookie更⾼，但有伪造问题；易⽤性：cookie需要⾃⾏封装接⼝，webStorage直接调⽤接⼝；带宽消耗：只要涉及cookie的请求，cookie数据都会在服务器和浏览器间来回传送，消耗⽹络的带宽；webStorage直接获取存储在本地的数据，节省⽹络流量，0带宽；⽹络流量：webStorage不会传送到服务器，存储在本地的数据可以直接获取，也不会像cookie⼀样每次请求都会传送到服务器，所以减少了客户端和服务器端的交互，节省了⽹络流量；显⽰速度：有的数据存储在WebStorage上，再加上浏览器本⾝的缓存。

安全测试中session和cookie
很多朋友做过安全测试应该都知道session和cookies他们的不同点：
1.存取⽅式不同。

----cookie不⽀持中⽂，需要编码，仅⽀持ascll值。

session能够存取任何类型的数据，包括java
2.隐私策略不同。

----cookie存取在客户端阅读器中，对客户端是可见的，所以不安全。

⽽session是存储在服务器上，通过加密的，安全的
3.有效期上的不同---coolie可以延续更长时间的保留以往登录的记录，⽽session就不能，加⼊设置session超长时间，那么服务器累计的session会更多，导致内存溢出
4.服务器压⼒不同----cookie是保管在客户端的，不占⽤服务器资源，所有并发⽤户再多也不受影响，⽽sessio是保管在服务器上，当并发数过多，可能导致内存溢出
5.浏览器⽀持不同-----cookie是需要客户端⽀持浏览器的，cookie是不能跨浏览器的，如果客户端不⽀持，则会话就会跟踪失败，⽽session 本⾝就是在服务端上的，不会受影响
6.跨域⽀持上的不同----cookie是⽀持跨域名访问的，⽽session是不⽀持跨域名访问。