wzhu
(wzhu)
版主
  
C[A-Z]O
UID 68040
精华
0
积分 47785
帖子 1559
金钱 47762 喜悦币
威望 0
人脉 23
阅读权限 100
注册 2006-1-14
来自 湖北荆州>陕西西安>辽宁 ...
状态 离线
|
COOKIE 和 SESSION
首先要明白以下几个基本知识:
1,浏览网页使用的是HTTP协议
2,HTTP协议是无状态的
3,整个过程是用户发出请求,服务器接受请求,作出响应,断开连接(无状态,不记录该连接记录)
4,HTTP协议包含协议头和消息实体两部分
5,Session在服务端,Cookie在客户端
过程
1,用户向服务器发送一个url请求。(GET /index.php HTTP/1.1)
2,服务器接受请求,在服务器上查找 index.php文件
3,根据该请求创建一个唯一的session_ID的文件按 一般在服务器的 %TEMP%文件夹下 如windows C:\winnt\temp\下面创建一个如:sess_e12683c5301033a408419cc9df284f7b的文件 (window2000)
并将一些SESSION值保存在该文件里面
4,将处理结果返回给客户端,并把该session_ID或者其它信息放在响应的协议头里面(set-Cookie),具体信息根据设置来确定,服务器断开连接
5,客户端接收,浏览器将协议头里面的session_ID存放在客户端的一个文件里(cookie)文件
在windows下一般在 C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files下。
cookie的文件名一般为
Cookie:用户名@dommain
Cookie文件的一般内容为
BAIDUID Cookie名称
25D4E67AC34F467A29DB9B8C85C4DEC5 Cookie值
baidu.com/ Cookie有效路径
1024 安全性 1024和1536表示模指数(MODP)群算法的位数
3577998080 Cookie有效日期
32067270 修改日期
1590083488 建立日期
29862897 建立者
6,客户端第二次向服务器发送请求,浏览器会将对应的cookie文件里面的值放在请求的协议头里面
7,服务接受协议头,同时也接受了cookie的值,这样服务器就可以和已经保存的session文件进行验证
说明
a,在上面的 3 步骤中,如果用户还保存其它的session值,这些值作为内容保存到那个session文件里面
b,在上面的 4 步骤中,服务还可以向客户端发送更多的cookie值
c,在上面的 5 步骤中,如果用户的浏览器拒绝cookie,那么有时候服务器会将session_ID作为url后面的参数附带,所以我们常常看见有的url上常常会有 PHPSESSID=******** 或者JSPSESSID=******之类的参数,如果浏览器接受cookie,也会将上面 b 中的更多参数放在cookie文件里面
d,在上面的 7 步骤中,服务器会根据session_ID查找对应的文session文件,因此也可以根据该文件的内容获取先前保存的其它的session值
e,在服务器保存的session文件有时间限制
f,在客户端保存的cookie文件有过期时间
以下是对cookie和session的形象说明
假设某一个酒店是服务器。
酒店没有必要对所有的会员都记录信息(无状态),也没有办法记住所有的会员,除非他是超人,牛B的很。
酒店只记录该店的VIP会员
如何记录会员并根据会员的消费来给于优惠呢?
方法一 ( 全部采用COOKIE )
酒店给每一位VIP会员一张卡,上面记录了 该会员的一切信息,包裹消费状况
优点:酒店不用保存任何信息。每位会员来消费,出示卡片就行了。
缺点:可以转借他人( 别人使用它的机器 ),可以伪造,会员丢失卡片将不再为本店会员(删除COOKIE)
方法二
酒店仍然给每位会员一张卡片,单卡片上除了一个帐号(session_id)或一些基本信息外什么都没有记录
酒店在本店里的账本上记录该会员的所有信息和帐号对应上(服务器的session文件)
会员来消费,出示卡片,酒店工作人员去核对
方法三
酒店通过会员的面相记住所有会员的姓名以及消费等所有信息(加入http是有状态的。)
会员以来,酒店就认识了。
不过这个基本上是不可能的。而且要求脑容量超级大。
通过上面我们可以看出来,及时你只是用session,其实也会给客户端发送一些信息,就像一把下次来认证的钥匙一样.
| 
<?wzhu
wzhu.print("This is a wzhu language");
?> |
|
