[网络协议]Session 使用

Session 使用

1.Session定义：

Session在计算机中，尤其是在网络应用中，称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的Web页时，如果该用户还没有会话，则Web服务器将自动创建一个Session对象。当会话过期或被放弃后，服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。如果用户指明不喜欢查看图形，就可以将该信息存储在Session对象中。

2.Session概念：

浏览器第一次请求的时候，服务器里面会进行存储生成一个唯一的session ID然后通过cookie发送给浏览器。每次访问的浏览器不同的时候，服务器就会进行上面的操作，生成session ID并且发送给浏览器。当同一个浏览器去访问服务器的时候，在登录的时候会一起发送给服务器，登录成功之后，就会把身份信息存储到对应的session ID下面。下次再登录，服务器发现这个session ID有对应的身份信息，即登录过，就不需要再次登录了。

当用户登录或访问一些初始页面时，服务器会为客户端分配一个 SessionID。SessionID 是一个加密的随机数字，在 Session 的生命周期中保存在客户端。它可以保存在用户机器的 Cookie 中，也可以通过 URL 在网络中进行传输。用户通过 SessionID 可以注册一些特殊的变量，称为会话变量，这些变量的数据保存在服务器端。在一次特定的网站连接中，如果客户端可以通过 Cookie 或 URL 找到SessionID，那么服务器就可以根据客户端传来的 SessionID 访问会话保存在服务器端的会话变量。Session 的生命周期只在一次特定的网站连接中有效，当关闭浏览器后，Session 会自动失效，之前注册的会话变量也不能再使用。3.Session的产生：

?????? 由于Session数据是存储在服务器端的，安全性会比Cookie要高。那么数据安全性要求比较高，比较私密的情况下都可以使用Session。一般我们会用Session存储用户的状态，方便在页面之间切换时依旧显示登录状态。还可以作为缓存，缓存用户购物车数据。

4.Session的保存：

?????? Session 变量保存的信息是单一用户的，并且可供应用程序中的所有页面使用。

但是session会话信息是临时的，在用户离开网站后就会被删除。

如果需要永久储存信息，就需要把数据存储在数据库中。

5.Session状态

一般用户的登录状态都是使用Session来存，这样在每个页面之间切换时，我们都可以追踪到当前用户的信息，显示用户的登录状态。那么为什么Session存储更安全呢？原因是因为它的文件存储在服务器端，用户是没有权限操作服务器的，除了服务器管理员有权限操作外。这样就可以避免非法用户窃取Session中的数据，从而保证了数据的安全性。

6.Session的生存周期：

?????? Session根据要求设定，一般来说Session生存周期为半小时。举个例子，当你登录一个服务器，服务器返回给你一个Session ID，登录成功后半小时之内没有对该服务器进行任何HTTP请求，半小时后你进行一次HTTP请求，它会提示你重新登录。

7.Session的优缺点：

优点：

那么为什么Session存储更安全呢？原因是因为它的文件存储在服务器端，用户是没有权限操作服务器的，除了服务器管理员有权限操作外。这样就可以避免非法用户窃取Session中的数据，从而保证了数据的安全性。反而客户端的电脑有被黑客入侵窃取文件的风险，或者是别的用户使用该客户端电脑时，直接窃取Cookie文件的风险，导致数据泄露的问题。Session存储数据在服务器，数据安全性要求高

缺点：

可能极大地提高服务器成本。没有分布式架构，无法支持横向扩展：如果使用一个服务器，该模式完全没有问题。但是，如果它是服务器群集或面向服务的跨域体系结构的话，则需要一个统一的session数据库来保存会话数据实现共享，这样负载均衡下的每个服务器才可以正确的验证用户身份；存下来各种形式的，不方便；常用来文件存储，性能不好。