一．cookie 和 和  session  機(jī)制之間的區(qū)別和聯(lián)系

具體來說 cookie 機(jī)制采用的是在客戶端保持狀態(tài)的方案。它是在用戶端

的會話狀態(tài)的存貯機(jī)制， 他需要用戶打開客戶端的 cookie 支持。 cookie 的作

用就是為了解決HTTP協(xié)議無狀態(tài)的缺陷所作的努力.而 session機(jī)制采用的

是一種在客戶端與服務(wù)器之間保持狀態(tài)的解決方案。同時(shí)我們也看到，由于

采用服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個(gè)標(biāo)識，所以 session

機(jī)制可能需要借助于 cookie 機(jī)制來達(dá)到保存標(biāo)識的目的。 而 session 提供了

方便管理全局變量的方式。

二 session 是針對每一個(gè)用戶的，變量的值保存在服務(wù)器上，用一個(gè)

sessionID 來區(qū)分是哪個(gè)用戶 session 變量,這個(gè)值是通過用戶的瀏覽器在訪

問的時(shí)候返回給服務(wù)器，當(dāng)客戶禁用 cookie 時(shí)，這個(gè)值也可能設(shè)置為由 get

來返回給服務(wù)器。就安全性來說：當(dāng)你訪問一個(gè)使用 session 的站點(diǎn)，同時(shí)

在自己機(jī)子上建立一個(gè) cookie， 建議在服務(wù)器端的 SESSION 機(jī)制更安全些.

因?yàn)樗粫我庾x取客戶存儲的信息。

三  正統(tǒng)的 cookie 分發(fā)是通過擴(kuò)展 HTTP 協(xié)議來實(shí)現(xiàn)的，服務(wù)器通過在

HTTP 的響應(yīng)頭中加上一行特殊的指示以提示瀏覽器按照指示生成相應(yīng)的

cookie。從網(wǎng)絡(luò)服務(wù)器觀點(diǎn)看所有 HTTP 請求都獨(dú)立于先前請求。就是說每

一個(gè) HTTP 響應(yīng)完全依賴于相應(yīng)請求中包含的信息。狀態(tài)管理機(jī)制克服了

HTTP 的一些限制并允許網(wǎng)絡(luò)客戶端及服務(wù)器端維護(hù)請求間的關(guān)系。在這種

關(guān)系維持的期間叫做會話(session)。

Cookies 是服務(wù)器在本地機(jī)器上存儲的小段文本并隨每一個(gè)請求發(fā)送至

同一個(gè)服務(wù)器。 IETF RFC 2965 HTTP State Management Mechanism 是通

用 cookie 規(guī)范。 網(wǎng)絡(luò)服務(wù)器用 HTTP 頭向客戶端發(fā)送 cookies， 在客戶終端 ，

瀏覽器解析這些 cookies 并將它們保存為一個(gè)本地文件，它會自動將同一服

務(wù)器的任何請求縛上這些 cookies。