Session和Cookie

cookie、session原理，以及如何使⽤chrome查看。

⼀、cookie、session 在chrome浏览器⾥如何显⽰的。

1. php源码：<?php$cookieDomain = '';setcookie('elf', 'im elf cookie', time()+300, '/', $cookieDomain);setcookie('aaa', 'aaaa', time()+10);2. chrome效果解释：头⽂件中request headers表⽰浏览器向服务器发送的包头，告诉服务器我这边的信息，顺带带上我所有的cookie（⽆论你是否请求cookie，只要是本域名下和本域名的主域名下的cookie都返回）。

response headers表⽰服务器返回给浏览器的包头，其中set-cookie表⽰服务器说“喂，浏览器，给我写⼊这些cookie到你本地去”。

同理下图可以查看cookie。

注意上⾯两张图，没有PHPSESSID这个cookie哟。

3. 修改服务器代码如下：session_start();echo 'cookie';var_dump($_COOKIE);4. 第⼀次刷新浏览器5. 第⼆次刷新浏览器两次刷新略有不同，第⼀次刷新：客户端没有任何cookie给服务器，服务器运⾏代码session_start后，会⾃动⽣成⼀个session id，存放在cookie⾥，该cookie的key默认是PHPSESSID，value就是session id。

所以服务器告诉客户端，“喂，给我set⼀个cookie，key是。

value是。

”第⼆次刷新：客户端把上⼀步⽣成的cookie带给服务器，也就是PHPSESSID=sjb2vafon1qi710hav8r8j5jl6这个⿁。

token和cookie、session的区别
1、session是有服务器⽣成，暂时保存在服务器上对客户端进⾏识别的会话⾝份标识，链接断开则session注销。

2、cookie是储存在客户端上，在于服务器交互的时候⽤于认证的类似于⾝份证的标识，链接断开则服务器上的cookie注销。

3、token是服务器⽣成，⽤于简化服务器进⾏客户端⽤户密码对⽐的根据⽤户信息数据库的密码⽤户名来⽣成的长时间标识（⽤于减轻服务器每次都需要逐个对⽐数据库中⽤户名和密码的负担），储存在服务器上，链接断开，token继续储存在服务器上。

之间的关系：session⼀般是基于cookie⽣成，token可以包含在cookie中，token可以绑定在session中
作⽤：将token绑定在session中，在交互是对⽐token是否为session中的token可避免⼤多数逻辑漏洞以及csrf等。

session、cookie、token的区别及联系sessionsession的中⽂翻译是“会话”，当⽤户打开某个web应⽤时，便与web服务器产⽣⼀次session。

服务器使⽤session把⽤户的信息临时保存在了服务器上，⽤户离开⽹站后session会被销毁。

这种⽤户信息存储⽅式相对cookie来说更安全，可是session有⼀个缺陷：如果web服务器做了负载均衡，那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。

cookiecookie是保存在本地终端的数据。

cookie由服务器⽣成，发送给浏览器，浏览器把cookie以kv形式保存到某个⽬录下的⽂本⽂件内，下⼀次请求同⼀⽹站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加⼊了⼀些限制确保cookie不会被恶意使⽤，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，⼀般设置为全局:"\")、失效时间、安全标志(指定后，cookie 只有在使⽤SSL连接时才发送到服务器(https))。

下⾯是⼀个简单的js使⽤cookie的例⼦:⽤户登录时产⽣cookie:document.cookie = "id="+result.data['id']+"; path=/";document.cookie = "name="+result.data['name']+"; path=/";document.cookie = "avatar="+result.data['avatar']+"; path=/";使⽤到cookie时做如下解析：var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];}$('#user_name').text(user_info[' name']);$('#user_avatar').attr("src", user_info[' avatar']);$('#user_id').val(user_info[' id']);tokentoken的意思是“令牌”，是⽤户⾝份的验证⽅式，最简单的token组成:uid(⽤户唯⼀的⾝份标识)、time(当前时间的时间戳)、sign(签名，由token的前⼏位+盐以哈希算法压缩成⼀定长的⼗六进制字符串，可以防⽌恶意第三⽅拼接token请求服务器)。

写cookie,取cookie1、添加cookies（用户信息保存，修改都会依赖cookies）HttpCookie cookies = newHttpCookie("Porschev");cookies["name"] = "Zhong Wei";cookies["sex"] = "1";cookies.Expires = DateTime.Now.AddMinutes(20);Response.Cookies.Add(cookies);2、修改cookies( 在程序中难免会操作，对用户信息的修改，更新数据库后，也会修改cookies，为了修改后的显示)方法一：HttpCookie cookies =Request.Cookies["Porschev"];cookies["name"] = "wilson Z";再取cookies中的name，结果：wilson Z;当这样修改cookies 时,在更新方法中再取这个名为Porschev的cookies，name 的值还为Zhong Wei而非wilson Z，页面显示也不对（己排除页面缓存原因，更新也确实没有成功）修改方法一：HttpCookie cookies =Request.Cookies["Porschev"];cookies["name"] = "wilson Z";//加上下面一句Response.Cookies["Porschev"].Expires = DateTime.Now.AddMinutes(-1);再次测式，结果正确，取出name的值为：wilson Z,页面显示也正确。

DateTime.Now.AddMinutes(-1)让以前存入过期时间为20min的cookies失效3、得到cookiesHttpCookie cookies =Request.Cookies["Porschev"];string name = cookies["name"]; //通过key取出对应value，多key同理取4、删除cookies方法一：（最常用的一个删除cookies方法）if (Request.Cookies["Porschev"] != null){HttpCookie cookies = newHttpCookie("Porschev");cookies.Expires =DateTime.Now.AddDays(-1);Response.Cookies.Add(cookies);}在项目中测式，删除部分cookies失败，于是换一种方法foreach (string cookiename inRequest.Cookies.AllKeys){HttpCookie cookies =Request.Cookies[cookiename];if (cookies != null){cookies.Expires =DateTime.Today.AddDays(-1);Response.Cookies.Add(cookies);Request.Cookies.Remove(cookiename);}}方法一只能删除提当前Response中的cookies，不对完成删除掉客端的cookies,用遍历cookies的方式可以 Session的用法Session简介：简单来说就是服务器给客户端的一个编号。

Cookie、token、session的区别是什么？背景：最近在总结⼀些容易理解混淆的概念，之前⾯试的时候提到过，我觉得也说不清楚，这两天项⽬做接⼝测试发现⽤的cookie⽽不是之前的token，于是总结⼀下，便于以后⽤到的时候再阅读以及分享给需要的⼈。

后期如果发现总结不对会持续更新从安全性优先级来说：1、优先级Cookie<session<token2、安全性Cookie:①cookie不是很安全，别⼈可以分析存放在本地的cookie并进⾏cookie欺骗，考虑到安全应当使⽤session②HTTP是⼀种⽆状态协议,服务器没有办法单单从⽹络连接上⾯知道访问者的⾝份,为了解决这个问题,就诞⽣了CookieCookie实际上是⼀⼩段的⽂本信息。

客户端请求服务器，如果服务器需要记录该⽤户状态，就使⽤response向客户端浏览器颁发⼀个Cookie客户端浏览器会把Cookie保存起来。

当浏览器再请求该⽹站时，浏览器把请求的⽹址连同该Cookie⼀同提交给服务器。

服务器检查该Cookie，以此来辨认⽤户状态。

服务器还可以根据需要修改Cookie的内容。

session:① session会在⼀定时间内保存在服务器上。

当访问增多，会⽐较占⽤你服务器的性能，考虑到减轻服务器性能⽅⾯，应当使⽤cookie②关闭浏览器不会关闭session,它具失效⽇期，失效后服务器认为客户端停⽌了活动，并删除session以节省空间Token:①作为⾝份认证 token安全性⽐session好，因为每个请求都有签名还能防⽌监听以及重放攻击② Oauth token提供的是认证和授权，认证针对⽤户，授权针对app③ token的⽣成⼀般是采⽤uuid保证唯⼀性，当⽤户登录时为其⽣成唯⼀的token，存储⼀般保存在数据库中。

token过期时间采⽤把token⼆次保存在cookie或session⾥⾯，根据cookie和session的过期时间去维护token的过期时间开发过程举例：案例⼀：项⽬中我们的⽤户数据可能需要和第三⽅共享,或允许第三⽅调⽤我们的API则⽤token案例⼆:公司内部的⽹站，⾃⼰的App，就可以⽤cookie、session⼀般来说我们可以将登录信息放在session，其他信息保存在cookie案例三：观察微信、⽀付宝登录接⼝⽤的就是token。

会话技术、Cookie、Session和课程思政1. 会话技术是指全球信息湾在用户访问期间存储和检索信息的方式。

它有助于全球信息湾保持用户登录状态和跟踪用户的活动。

但是，要理解会话技术，就必须先理解Cookie和Session的概念。

2. Cookie是一种在用户计算机上存储数据的小型文本文件，它由全球信息湾创建，并由用户的浏览器保存。

在全球信息湾和用户之间交换信息时，Cookie会被发送到服务器，从而实现会话跟踪和用户认证等功能。

Cookie是会话技术的基础，也是全球信息湾保持用户状态的基础。

3. Session是指在服务器端保存用户信息的机制。

当用户访问全球信息湾时，服务器会为其创建一个唯一的会话标识，并在会话期间保存用户数据。

这样，用户在不同页面之间可以共享数据，并且服务器可以根据用户的会话信息来维护用户状态。

4. 课程思政作为一种教育理念，强调高校课程的思想性、原则性和针对性。

它旨在通过课程教学，引导学生坚定正确的人生观、价值观和世界观，培养社会主义核心价值观，传承中华优秀传统文化，树立正确的历史观和民族观。

5. 在当今数字化和信息化的时代，会话技术也扮演着至关重要的角色。

在在线课程教学中，会话技术能够帮助学校和学生保持登录状态，支持在线学习的流畅进行，提高用户体验。

6. 结合会话技术和课程思政的话题，可以从以下几个方面展开讨论：- 如何利用会话技术来支持课程思政的在线教学？- 在网络教学中，如何保障学生的个人信息安全和隐私保护？- 会话技术对于课程内容推送和学习路径设计的影响。

- 课程思政如何引导学生正确理解和应用会话技术？- 会话技术在课程思政实践中的应用案例和发展趋势。

7. 通过对会话技术、Cookie、Session和课程思政的深度分析，可以促使人们更深入地理解数字化时代的教育和技术发展。

也有助于引导学生正确应用和理解技术，并注重技术背后的人文关怀和社会责任。

总结：会话技术作为支持在线教学和全球信息湾用户体验的重要技术之一，与课程思政的结合，不仅能促进教育模式的创新，也有助于引导学生正确应用和理解技术。

带你了解session和cookie作⽤原理区别和⽤法Cookie概念在浏览某些⽹站时,这些⽹站会把⼀些数据存在客户端,⽤于使⽤⽹站等跟踪⽤户,实现⽤户⾃定义功能.是否设置过期时间:如果不设置过期时间,则表⽰这个 Cookie⽣命周期为浏览器会话期间 , 只要关闭浏览器,cookie就消失了.这个⽣命期为浏览会话期的cookie,就是会话Cookie;存储:⼀般保存在内存,不在硬盘;如果设置了过期时间, 浏览器会把cookie保存在硬盘上,关闭再打开浏览器, 这些cookie依然有效直到超过的设置过期时间;存储在硬盘上的Cookie可以在不同的浏览器进程间共享，⽐如两个IE窗⼝。

⽽对于保存在内存的Cookie，不同的浏览器有不同的处理⽅式。

原理:如果浏览器使⽤的是 cookie，那么所有的数据都保存在浏览器端，⽐如你登录以后，服务器设置了 cookie⽤户名(username),那么，当你再次请求服务器的时候，浏览器会将username⼀块发送给服务器，这些变量有⼀定的特殊标记。

服务器会解释为 cookie变量。

所以只要不关闭浏览器，那么 cookie变量便⼀直是有效的，所以能够保证长时间不掉线。

如果你能够截获某个⽤户的 cookie变量，然后伪造⼀个数据包发送过去，那么服务器还是认为你是合法的。

所以使⽤cookie被攻击的可能性⽐较⼤。

如果设置了的有效时间，那么它会将 cookie保存在客户端的硬盘上，下次再访问该⽹站的时候，浏览器先检查有没有cookie，如果有的话，就读取该 cookie，然后发送给服务器。

如果你在机器上⾯保存了某个论坛 cookie，有效期是⼀年，如果有⼈⼊侵你的机器，将你的 cookie拷⾛，然后放在他的浏览器的⽬录下⾯，那么他登录该⽹站的时候就是⽤你的的⾝份登录的。

所以 cookie是可以伪造的。

当然，伪造的时候需要主意，直接copy cookie⽂件到 cookie⽬录，浏览器是不认的，他有⼀个index.dat⽂件，存储了 cookie⽂件的建⽴时间，以及是否有修改，所以你必须先要有该⽹站的 cookie⽂件，并且要从保证时间上骗过浏览器，曾经在学校的vbb论坛上⾯做过试验，copy别⼈的 cookie登录，冒⽤了别⼈的名义发帖⼦，完全没有问题。

iframe跨域访问cookie和session的解决方法一、问题背景介绍随着互联网技术的不断发展，前端页面中的IFrame变得越来越普遍。

然而，IFrame在跨域访问时，会遇到Cookie和Session无法传递的问题。

这个问题在一定程度上限制了网页的功能和用户体验。

为了解决这个问题，本文将介绍几种常见的解决方法。

二、IFrame跨域访问原理IFrame本质上是一个浏览器窗口，它与其他域的页面进行交互时，会受到同源策略的限制。

同源策略是指浏览器为了保护用户信息安全，限制来自不同源的页面之间的交互。

在这种情况下，Cookie和Session无法跨域传递，从而导致了一系列问题。

三、解决方案1.服务端设置Cookie和Session为了解决跨域问题，可以在服务端设置Cookie和Session。

当用户访问某个页面时，服务器会为其分配一个唯一的Session ID。

然后将这个Session ID存储在Cookie中，以便下次访问时使用。

这样，即使用户通过IFrame访问其他域的页面，也可以保证Session的连续性。

2.使用JSONP技术JSONP（JSON with Padding）是一种跨域通信的技术。

它通过在HTML 标签中插入一个script标签，来实现跨域数据传输。

JSONP的优势在于它不需要修改服务器端的代码，只需在客户端修改即可。

但是，JSONP只支持GET请求，不支持POST请求。

3.使用代理服务器代理服务器是一种在客户端和服务器之间进行数据传输的中间服务器。

通过使用代理服务器，可以绕过浏览器的同源策略，实现跨域访问。

在服务器端，可以将Cookie和Session存储在代理服务器上，然后在客户端通过Ajax 请求获取数据。

4.使用Ajax进行跨域通信Ajax（Asynchronous JavaScript and XML）是一种异步的Web开发技术。

通过Ajax，可以实现在不刷新页面的情况下，与服务器进行数据交互。

String username = "1234567899"; String regex1 = "^[a-zA-Z0-9]{5,12}$";String regex2 = "^\\w{1,}[@]\\w{1,}[.]\\w{1,}[.]?\\w{1,}$";//email 写法 String email = "^[a-zA-Z0-9_-]+[@][a-zA-Z0-9_-]+((.com)|(.net))$"; String regex4 = "^\\w{1,}(.com|.cn)$";String regex3 = "^\\d{3,4}[| -]?\\d{7,8}$";//电话号码,空格不能在最后 String userReg = "^[a-zA-Z0-9_]{5,12}$"; // 用户名5-12位 字母数字，_ String numberReg = "^\\d{6,8}$"; // 6-8位数字String fpReg = "^[0-9]+[.]?\\d*$"; String telReg = "^(\\d{1,3}[-| ]?)?" +"\\d{3,4}[-| ]?\\d{7,8}[-| ]?(\\d{3,4})?$";servlet一、cookie 机制和session 机制的区别具体来说cookie 机制采用的是在客户端保持状态的方案，而session 机制采用的是在服务器端保持状态的方案。

同时我们也看到，由于在服务器端保持状态的方案在客户端也需要保存一个标识，所以session 机制可能需要借助于cookie 机制来达到保存标识的目的，但实际上还有其他选择。

二、会话cookie 和持久cookie 的区别如果不设置过期时间，则表示这个cookie 生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie 就消失了。