在学习中,看到有的网站是将用户登录后的信息保存在session中,而后台管理员登录的信息则是保存在cookie中。请问下为什么?哪种保存方式好?
session相对安全一些,从代码上来说,没有区别
根据你的需求来,如果你要每次打开页面都能登陆,肯定是用cookie,如果只是当前浏览器窗口,就用session,从安全性来说,session的安全性高
其实这个问题本身不是很准确,我觉得可能对浏览器机制和http协议做更多了解,可能更好点。为什么?
首先直接回答问题,一般比较方案是从功能,安全,效率三方面看,功能上都能达到要求,那么从安全和效率两方面比较两种保存方式:
安全性:
用户登录信息放在session中,更加安全一点,因为涉及到的敏感信息放在服务器端; cookie是存在客户端的,所以如果涉及到敏感信息,一定要加密,而且关于如果保护cookie,讲web安全的文章有一大堆介绍效率:
事实上,两种方法都不太适合在用户会话中保存大量数据(比如超过1M大小),但是如果某些原因一定一定要保存大量数据,那么因为session是直接放在服务器的,而cookie每次都要送到服务上,一般情况下,客户端的上行带宽是很小的,效果可想而知。但是session是保存在服务器上的,如果并发会话很多,又存了很多数据,那么对服务器的机器性能要求较高。
也许对于一般企业管理系统只能从内网访问,一般对客户端可控,所以选择放cookie的较多。
接下来谈的是什么叫登录后的信息呢?
我们知道http协议是无状态的,服务器怎么知道两次请求是同一个会话呢?这时候就需要一个令牌或者说标识符标记一些请求是属于同一个会话的。我们如何做到这点呢?有很多方法,但是绝大多数web开发同学都没有关心过这个问题,因为类似于tomcat这样的容器会自己往cookie里塞一个jsessionid,ASP.NET叫ASP.NET_SessionId,总之,应该是所有的web技术都有这个机制,浏览器会自己在每个请求中将这个口令带回去。
那么,登录后的信息包不包括这个口令呢?有人觉得不算,因为这只是个口令,相当于key;有的人又觉得算,因为一般情况下,登录后会将sessionid给换个,否则攻击者只要保存一个sessionid,就等着真实客户登录后就可以冒充客户了。
总之,这种问题我觉得应该对http协议做更加深入的了解,根据不同情况做不同选择,没有什么绝对的好坏。。