摘要:前言最近看了一些同學的面經(jīng),發(fā)現(xiàn)無論什么技術(shù)崗位���,還是會問到和的區(qū)別����。所有學技術(shù)的同學都知道和函數(shù)怎么用��,知道和的區(qū)別就是是儲存在服務(wù)端的���,是存儲在瀏覽器的��。的誕生是為了能讓無狀態(tài)的報文帶上一些特殊的數(shù)據(jù)�����,讓服務(wù)端能夠辨識請求的身份��。
1 前言
最近看了一些同學的面經(jīng)�,發(fā)現(xiàn)無論什么技術(shù)崗位,還是會問到 Session 和 Cookie 的區(qū)別���。
所有學技術(shù)的同學都知道 Session 和 Cookie 函數(shù)怎么用�����,知道 Session 和 Cookie 的區(qū)別就是 Session 是儲存在服務(wù)端的��,Cookie 是存儲在瀏覽器的����。
但是實際上是什么東西��,一些剛學習技術(shù)的同學估計還是模糊�,我剛學 PHP 的時候,這種感覺特別明顯����。PHP 中 Session 和 Cookie 的操作只要操作 $_COOKIE 和 $_SESSION 數(shù)組就可以了,而且操作方式和功能一模一樣��,搞得我一臉懵逼�����。
最后,還是自己實現(xiàn)了一個 Session 操作類才恍然大悟��,實質(zhì)上就是兩個不同的存儲對象嘛���。
2 Cookie
Cookie 的誕生是為了能讓無狀態(tài)的 HTTP 報文帶上一些特殊的數(shù)據(jù)�����,讓服務(wù)端能夠辨識請求的身份。
對于 Cookie 的概念就不多說了��,Cookie 說簡單點就是瀏覽器上的一個 key-value 存儲對象�����,通過開發(fā)者工具直接看到 Cookie 的內(nèi)容(F12)
寫入數(shù)據(jù)方式
Cookie 寫入數(shù)據(jù)的方式是通過 HTTP 返回報文 Header 部分 Set-Cookie 字段來設(shè)置���,一個帶有寫 Cookie 指令的的 HTTP 返回報文如下
HTTP/1.1 200 OK
Set-Cookie: SESSIONID=e13179a6-2378-11e9-ac30-fa163eeeaea1; Path=/
Transfer-Encoding: chunked
Date: Tue, 29 Jan 2019 07:12:09 GMT
Server: localhost
上述報文 Set-Cookie 指示瀏覽器設(shè)置 key 為 SESSIONID����,value 為 e13179a6-2378-11e9-ac30-fa163eeeaea1 的 Cookie
獲取數(shù)據(jù)方式
瀏覽器在發(fā)送請求的時候會檢查當前域已經(jīng)設(shè)置的 Cookie�,在 HTTP 請求報文 Header 部分的 Cookie 字段里面帶上 Cookie 的信息�����。下面捉取了一段 HTTP 報文
GET http://10.0.1.24:23333/ HTTP/1.1
Host: 10.0.1.24:23333
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: SESSIONID=e13179a6-2378-11e9-ac30-fa163eeeaea1
從最后的 Cookie 字段看到���,瀏覽器請求時帶上了 key 為 SESSIONID,value 為 e13179a6-2378-11e9-ac30-fa163eeeaea1 的數(shù)據(jù)�,后端直接解析 HTTP 報文就能獲取 Cookie 的內(nèi)容。
3 Session
Session 在代碼里面的語意是記錄客戶端狀態(tài)的一個存儲對象�����,是同一個客戶端請求共享的數(shù)組���。這個存儲對象可以是文件�����、緩存系統(tǒng)���、數(shù)據(jù)庫。
現(xiàn)在假設(shè)要使用 redis 來實現(xiàn) Session 功能����,那么就要求瀏覽器每次請求都要帶一個相同的字符串作為身份信息�����,對應(yīng) redis 的 key�,redis value 則為 Session 數(shù)組序列化的內(nèi)容����。
那么如何讓瀏覽器每次請求都帶一個身份信息呢,這就是 Session 和 Cookie 的關(guān)系����,通過 Cookie 傳遞這個身份信息。流程如下
客戶端請求
服務(wù)端檢查 Header�����,發(fā)現(xiàn)沒有 Cookie���,于是生成一個 UUID
服務(wù)端處理數(shù)據(jù),把部分數(shù)據(jù)(登錄信息)存儲到 redis 里面���,UUID 為 key����,用戶 id 為 value
返回報文中,增加 Set-Cookie 字段�,內(nèi)容帶上 UUID
瀏覽器收到報文,把 UUID 寫進瀏覽器存儲里面
瀏覽器再次請求�,帶上當前的域的 Cookie,就是這個 UUID
服務(wù)端通過 Cookie 字段獲取到該 UUID�,去 redis 里面獲取用戶的信息
...
4 手動實現(xiàn) Session
既然知道了 Session 的原理,我們手動實現(xiàn)一個 Session 操作類���,采用文件保存的方式����。http 框架采用 web.py���,安裝方式如下
pip install web.py
Session類
我們要實現(xiàn)的這個類就叫 Session
class Session:
def __init__(self):
self.session_id = None
# session 數(shù)組
self._items = dict()
self._load()
我們所有 session 文件放在 sessions 目錄下���,文件名為對應(yīng)的 session id,內(nèi)容為 Session 數(shù)組序列化的字符串��。在初始化對象的時候通過獲取名為 SESSIONID 的 Cookie����,如果沒有就生成一個新的。
def _load(self):
SESSIONID = web.cookies().get("SESSIONID", None)
if not SESSIONID:
SESSIONID = uuid.uuid()
self.session_id = SESSIONID
self._loadFromDisk()
獲取到 SESSIONID 后,檢查 sessions 目錄下有沒有對應(yīng)的文件����,如果有就讀取并反序列化
def _loadFromDisk(self):
""" 從文件加載 SESSION """
file = "./sessions/%s" % self.session_id
if os.path.exists(file):
f = open(file, "rb")
self._items = pickle.load(f)
f.close()
獲取 Session 部分完成了,接下來就是保存 Session��,我們要把 SESSIONID 寫進 Cookie 里面���,這樣才能在下次請求時獲取到對應(yīng)的 SESSIONID
def _setSessionCookie(self):
""" Session id 寫入 cookie """
web.setcookie("SESSIONID", self.session_id)
最后把 Session 的內(nèi)容保存到文件里面
def _saveToDisk(self):
""" 保存 SESSION 到文件 """
f = open("./sessions/%s" % self.session_id, "wb")
pickle.dump(self._items, f)
f.close()
功能測試
我們新建一個文件�����,叫 server.py�,寫入測試代碼
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# 測試 session
import web
import time
from session import Session
urls = (
"/", "index"
)
app = web.application(urls, globals())
class index:
def GET(self):
session = Session()
if "login_time" not in session:
session["login_time"] = int(time.time())
return "login time: %s" % session["login_time"]
if __name__ == "__main__":
app.run()
在同一目錄新建 session.py 文件���,寫入 Session 類代碼
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# Session
import os
import web
import uuid
try:
import cPickle as pickle
except ImportError:
import pickle
class Session:
__instance = None
def __new__(cls):
""" 單例模式 """
if cls.__instance is None:
cls.__instance = object.__new__(cls)
return cls.__instance
else:
return cls.__instance
def __init__(self):
self.session_id = None
# session 數(shù)組
self._items = dict()
self._load()
def __contains__(self, key):
return key in self._items
def __getitem__(self, key):
return self._items.get(key, None)
def __setitem__(self, key, value):
self._items[key] = value
return True
def __delitem__(self, key):
if key in self._items:
del self._items[key]
return True
def __del__(self):
""" 析構(gòu)函數(shù)�����,結(jié)束請求時執(zhí)行 """
self._setSessionCookie()
self._saveToDisk()
def _load(self):
SESSIONID = web.cookies().get("SESSIONID", None)
if not SESSIONID or SESSIONID is None:
SESSIONID = uuid.uuid()
self.session_id = SESSIONID
self._loadFromDisk()
def _loadFromDisk(self):
""" 從文件加載 SESSION """
file = "./sessions/%s" % self.session_id
if os.path.exists(file):
f = open(file, "rb")
self._items = pickle.load(f)
f.close()
def _setSessionCookie(self):
""" Session id 寫入 cookie """
web.setcookie("SESSIONID", self.session_id)
def _saveToDisk(self):
""" 保存 SESSION 到文件 """
f = open("./sessions/%s" % self.session_id, "wb")
pickle.dump(self._items, f)
f.close()
再在同一目錄新建 sessions 目錄,存放我們的 Session 文件
mkdir sessions
啟動服務(wù)
[service@chengqm mysession]$ python server.py 23333
http://0.0.0.0:23333/
瀏覽器發(fā)起請求
查看 Cookie
查看 Session 文件內(nèi)容
[service@chengqm mysession]$ cat sessions/e13179a6-2378-11e9-ac30-fa163eeeaea1
(dp1
S"login_time"
p2
I1548749002
s.
可以多次刷新和更換瀏覽器測試�����,測試結(jié)果是符合我們對 Session 的預(yù)期,簡陋版 Session 類功能就算實現(xiàn)了�����。
5 如果禁止 Cookie 是否可以獲取 Session
這是一道面試題���,當年竟然能用這個問題問倒過一些朋友��,還是有些意思的
從前面可以知道�����,SESSIONID 是通過 Cookie 來傳遞�����,如果 Cookie 禁止了��,還能獲取 SESSIONID 嗎�? 答案是可以的
既然 Cookie 禁止了����,那么我們就可以用參數(shù)的方法傳遞 SESSIONID,后端返回的時候����,增加一個返回參數(shù)�����,叫 SESSIONID���,然后前端存儲到 localstorage 里面
前端請求的時候,去 localstorage 獲取SESSIONID�,在請求參數(shù)里面增加這一個參數(shù)
后端 Session 處理,先嘗試從 Cookie 中獲取 SESSIONID����,如果獲取不到,再嘗試從請求參數(shù)中獲取 SESSIONID
這樣��,就算禁止 Cookie 也是能獲取 Session 的���。
6 總結(jié)
最后��,我們得出 Session 和 Cookie 區(qū)別和聯(lián)系
區(qū)別
Cookie 是瀏覽器端的存儲對象���,有容量限制���,通過 HTTP 報文與后端交互
Session 是服務(wù)端的存儲對象��,實現(xiàn)的方式可以有文件系統(tǒng)�����、緩存系統(tǒng)�����、數(shù)據(jù)庫
聯(lián)系
Session 和 Cookie 都是為了實現(xiàn) HTTP 請求帶上客戶端狀態(tài)的方法
Session 大多數(shù)情況下都是依賴 Cookie 來傳遞 Session Id
