Cookie、Session和Cache

    一、Cookie

     Cookie是保存客户端的一组数据，主要用来保存用户的个人信息，主要存放浏览器请求服务器时的请求信息，这些信息是非敏感信息。主要用于当用户访问您的系统时，应用程序可以检索以前存储的信息。

     1、保存时间可以根据需要进行设置：

          1）如果没有设置Cookie失效日期，它的生命周期保存到关闭浏览器为止；

          2）若Cookie对象的Expires属性设置为MinValue，表示永不过期；

     2、Cookie存储的数据量受限制，大多数的浏览器约束为4KB左右，所以不要存放太大数据。

     3、Cookie的关键特性：

          1）存储在客户端的磁盘上；

          2）是与用户相关的数据；

          3）在一定的时间内持久化存储；

          4）可以跨浏览器共享数据；

          5）数据需要被序列化；

          6）会发生客户端与服务器端数据传输；

          7）用户相关；

     二、Session

     Session是由应用服务器维持的一个服务器端的存储空间，是一种保存上下文信息的机制，它是针对每一个用户的。用户在连接服务器时，服务器会生成一个唯一的SessionID，用该SessionID为标识符来存取服务器端的Session存储空间，面SessionID这一数据是以Cookie形式保存在客户端。用户提交页面时，会将SessionID提交到服务器端，来存取Session数据。这一过程是不用开发人员来干预的，所以一旦客户端禁用Cookie，Session理论上也会失效，但服务器也可以自动通过URL重写的方式来传递SessionID的值，因此也不是完全依赖Cookie，并且这个过程对于开发人员是透明的。

     所以，即使不写Cookie，在使用Request.GetCookies()方法取出的Cookie数组长度也是1，而这个Cookie的名字就是JSessionID，还有一个很长的二进制字符串，这就是SessionID的值。

     备注：

     为什么会有Cookie呢,大家都知道，Http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，Session就是一种保存上下文信息的机制，它是针对每一个用户的，将变量的值保存在服务器端，通过SessionID来区分不同的客户，Session是以Cookie或URL重写为基础的，默认使用Cookie来实现，系统会创造一个名为JSessionID的输出Cookie，我们叫做Session-Cookie，以区别Persistent-Cookie，也就是我们通常所说的客户端Cookie，注意Session-Cookie是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的JSessionID，我们通常情是看不到JSessionID的，但是当我们把浏览器的Cookie禁止后，Web服务器会采用URL重写的方式传递SessionID，我们就可以在地址栏看到SessionID=KWJHUG6JJM65HS2K6之类的字符串。

     明白了原理，很容易的分辨出Persistent-Cookie和Session-Cookie的区别了，关于两者安全性的讨论也就一目了然了，Session-Cookie针对某一次会话而言，会话结束Session-Cookie也就随着消失了，而Persistent-Cookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到Cookie欺骗以及针对Cookie的跨站脚本攻击，自然不如Session-Cookie安全了。

     通常Session-Cookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的SessionID，这样我们信息共享的目的就达不到了，此时我们可以先把SessionID保存在Persistent-Cookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过Session-Cookie和Persistent-Cookie的结合我们就实现了跨窗口的Session-Tracking（会话跟踪）。

     在Web开发的书中，往往只是简单的把Session和Cookie作为两种并列的Http传送信息的方式，Session-Cookie位于服务器端，Persistent-Cookie位于客户端，可是Session又是以Cookie为基础的。

     Session的关键特性：

          1）Session用来保存每一个用户的专有信息；

          2）Session的生存期是用户持续请求时间加生存时间；

          3）Session信息是保存在应用服务器内存中，保存数据量可大可小；

          4）用户停止使用应用程序之后，Session仍在内存中停留一段时间，因此这种方法效率较低；

          5）相较与在数据库中存储和检索信息相比，它的执行速度会更快；

          6）Session应用于单个用户以其相应会话状态。因此，适合存储随用户的变化而变化的常用数据，或存储关于用户的安全数据；

          7）Session不会发生客户端与服务器端数据传输；

          8）会话相关；

          9）在会话的整个生存期中，不会被主动丢弃；

          10）数据不被序列化；

     三、Cache

     Cache存储于服务器的内存中，允许您自定义如何缓存数据项，以及缓存多长时间。当系统缺乏内存时，缓存会自动移除很少使用的或优先级较低的缓存项，以释放内存，此过程称为清理。这是缓存为了确保过期数据不再占用宝贵的服务器资源的方式之一。它不与会话相关，所以它是多会话共享的，因此缓存可以提高系统性能。同时有可能会泄露用户信息，另外在获取数据时还需要检测该缓存项是否还存在。

     Cache的关键特性：

          1）Cache用于在Http请求期间保存页面或者数据；

          2）Cache的使用可以大大提高整个系统的效率；

          3）由于Cache的使用是将频繁访问的数据放在内存中，当用户发出相同的请求后，服务器不会再次处理，而是直接缓存结果返回给用户。所以，Cache节省的是服务器处理时间；

          4）对于缓存与应用程序在一起的情况，当应用程序重启将重新创建其实例；

          5）与会话无关；

          6）根据服务器资源的状况，缓存项随时可能被丢弃；

          7）数据不被序列化；

          8）Cache不会发生客户端与服务器端数据传输；

     四、总结

     1、由于Session依赖于客户端Cookie（SessionID是存放于Cookie中的），因此不支持Cookie的浏览器，Session也会丢失，当然可以用Session Url重写来解决此问题。

     2、Cookie不建议存放大数据量（如存一个表格数据等），因为Cookie的值在每次Web页面请求往返的过程中都是要附在Http头中的，如果太大会占用客户端与服务器端之间的带宽，如果多个连接访问就是N*4KB，当用户多了，就会成为瓶颈之一。

     3、Cache也要占用服务器的内存，但是比Session要多一些灵活性，但要注意哪些数据需要缓存，哪些本就不需要缓存。

     4、针对用Cache替换Session，对于单一系统来说，是完全不需要注意什么的。若是针对单点登录来说，同一账号可以访问几个系统。或者在同一电脑中在不同的页面中访问不同的系统，那在做Cache数据保存时，应该根据不同的系统唯一标识来保存针对不同系统数据的缓存，以达SessionID的作用（当然还有其他实现方案）。否则，对于前面登录的系统，在Cache中永远是最后一个系统的缓存数据，当刷新前面系统时，始终展现的是最后一个系统的操作。

     5、当然，session也可以不以cache的形式进行处理，因为像redis，memacache中有专门针对session共享的解决方案。