首先我們需要思考,很多問題。
1.當很多人訪問統一個網服務器,服務器如何來區分不同的用戶呢?
答:sessionid,sessionid保證了瀏覽器和服務器唯一性的通信憑證號碼,session保存在服務器上,
sessionid保存在瀏覽器等客戶端,服務器根據瀏覽器發送來的sessionid作為一個唯一的key值找到
對應的用戶,所以說sessionid的唯一性用來區別和查詢用戶信息,因此sessionid的作用不言而喻了吧。
2.我們經常說瀏覽器關閉后session就會被清除,那session有生命周期么?
答:有的,這個是服務器的配置,瀏覽器關閉只是把sessionid給清除了,所以在此打開瀏覽器並請求服務,你的登錄狀態無法找到,由此你需要重新登錄。
一般情況下,瀏覽器如果不刷新或者不重新請求的話,服務器一般會緩存session數據20分鍾左右。
3.cookie會被緩存,sessionid保存在cookie中,sessionid一定會被清除么?
答:不一定,這個需要服務器cookie的設置了,但總體而言,因安全性考量,最好不要緩存sessionid
4.cookie保存用戶狀態時需要保存sessionid么?
答:不需要,保存user_id或者其他token即可
5.cookie是如何發送到服務器的?
答:使用http請求頭,瀏覽器進行了封裝,但在一般網絡編程時可以加上。
如
GET / HTTP/1.1 Host: www.guancha.cn Connection: keep-alive Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36 Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Cookie: pgv_pvi=9956446208; pbm_total_match_cookie_281589=1; has_js=1; Hm_lvt_8ab18ec6e3ee89210917ef2c8572b30e=1414852570,1414879794,1414884316,1414901793; Hm_lpvt_8ab18ec6e3ee89210917ef2c8572b30e=1414901793
6.上面的例子中沒有sessionid么?
答:是的,沒有,sessionid只是一個代稱,這個變量名可以改變,比如在php中使用phpsessid,
在java web中jsessionid
7.登錄前有sessionid,登陸后需要重新設置么?
答:依情況而定,如果安全性要求較高的,可以重新生成一個sessionid,另外必須先銷毀之前的一個sessionid
8.sessionid生成后如何發送到瀏覽器?
答:默認情況下,服務器會掛載響應消息 set-Cookie來指示瀏覽器更新sessionid,不需要手動更新
如:
HTTP/1.x 200 OK
X-Powered-By: PHP/5.2.1
Set-Cookie: TestCookie=something from somewhere; path=/
Expires: Thu, 19 Nov 2007 18:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-type: text/html
//如果是按照第7問生成的sessionid,這個也不需要手動發送,當然也可以手動發送