Session和Cookie的分析与区别

首先说一下Web.config文件中的cookieless="false"的理解

cookieless="false"表示： 如果用户浏览器支持cookie时启用会话状态(默认为False)

cookieless="true"表示，如果用户浏览器不支持cookie时启用会话状态(默认为False) ----这种情况下sessionID无法存储在客户端cookie中(因为浏览器不支持cookie)，但是又要启用会话状态，怎么办，那就是会自动把sessionID存储在url中，也就是说url中会多出一些字符(比如 http://localhost/(S(hbbvecjstz42edqcjobbyh45))/login.aspx)

以下文章转载自 http://www.blogjava.net/henry1451/articles/209066.html?_sm_byp=iVVHtw6wWV103RW3

一句话就是,一般情况下Session是需要Cookie支持的!
大家都知道Session是在服务器端保存客户状态的,只要浏览器不关闭,就可以一直保存该用户的信息,通常用做来保存是否登陆信息等.而Cookie与其刚好相反,它将信息保存到客户端,它是写入文件的,俗成小甜点..
今天做了个程序,是判断是否登陆成功的,没有使用Cookie,而全部使用的Session机制实现的.本来很好用,可吃完午饭后,突发起想的把浏览器的cookie禁止了,这时候产生了一件让我很惊讶的事情session竟然不好用了,也就是说,无论我怎么登陆系统,系统都认为我没有登陆! 当我把cookie打开后session就好用了,系统也恢复正常了?!这是怎么会事?感觉我和思维中的某种原则性的东西冲突了
于是决定好好研究下.
为什么登陆后,只要不关闭浏览器,session就能一直存在?当然session的数据是保存在服务器上的,但服务器是怎么识别这些数据都是谁的呢?答案是sessionid,每一个浏览者都唯一的sessionid,这就很好的区分了不同浏览者的不同session了.sessionid是怎么产生的?应该是第一次访问服务器的时候随即生成的.假如是111,然后他的登陆信息是true,服务器就知道sessionid为111已经登陆了,这些信息都存在了服务器上了.但当浏览者继续操作的时候,也就是打开该系统的另一个页面的时候sessionid怎么办?如何传递?打开另一个页面的时候其实相当于重新访问系统,如果没有特殊的处理机制,系统会再次重新分配一个sessionid的,这样的话就失去意义了~!所以sessionid在第一次访问后应该存在了客户端.能寸哪呢?当然,只能寸在cookie中了,这就是为什么关闭cookie,session就失去作用了
找到这么个例子来描述cookie session的关系再恰当不过了
一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠，然而一次性消费5杯咖啡的机会微乎其微，这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案： 
1、该店的店员很厉害，能记住每位顾客的消费数量，只要顾客一走进咖啡店，店员就知道该怎么对待了。这种做法就是协议本身支持状态。 
2、发给顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每次消费时，如果顾客出示这张卡片，则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。 
3、发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次消费时，如果顾客出示该卡片，则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。
第一种情况暂时不考虑.看第二种情况,卡片无疑就是cookie了,所有的数据如果都存在卡片上是不安全的,也是容易遗失的(卡片被修改了?卡片遗失了?这都是有可能的).所以才用了第三种情况.客户除了个会员号再什么信息也没有,这是最安全的,但这个会员号必须是客户自己知道的!也就是cookie中必须存储的.
这样解释我今天中午遇到的情况就不惊讶了.

无cookie的解决办法是利用URL重写技术,就是把sessionid的数据保存在url后面http://onewww.net/a.asp?sessionid=111
在.net中,可以用Web.config配置
就是把cookieless="false"改为：cookieless="true"就可以了
还有一种方法是利用表单隐藏字段技术,就是加个input type='hide'的元素.这中技术也在.Net中大量使用,尤其是.Net中的控件.个人很不喜欢这种技术，因为加大了流量(数据都是加密的.体积成倍增加)

默认情况下session是存在inetinfo.exe进程中的
.Net中session是可以存在sql server中的,很强

以下内容转载自 http://www.cnblogs.com/liuzhendong/archive/2011/06/22/2087331.html

1.Session存在server上, asp.net有几种存储方式, 一是inproc, 二是sqlserver, 三是stateserver, 四是可以放到Appfabric Caching中去(这是.net 4.0中新加的).

2.Cookie存在客户端浏览器里, 如果加上expired, 则会保存到客户硬盘上去. 用户可以启用cookie, 也可以关闭cookie, 就这个自由, 导致的问题就来了.

3.网站如何识别已登录用户呢?

用户访问网站时, 网站会分配一个sessionID给该浏览器, 这个sessionID存在于客户端的cookie中, 这样, 客户再请求访问网站的其它页面时, 服务器见到这个客户请求, 一检查cookie, 发现有sessionID, 于是就知道谁已登录的用户, 谁是未登录的了.

就是这个样子的：
HTTP/1.1  OK
Server: ASP.NET Development Server/10.0.0.0
Date: Wed,  Jun  :: GMT
X-AspNet-Version: 4.0.
Set-Cookie: ASP.NET_SessionId=zvsoy5xcsvflpdzso40s52se; path=/; HttpOnly
Cache-Control: private
Content-Type: text/html; charset=utf-
Content-Length:
Connection: Close

4.如果客户端禁止使用cookie呢?

cookie不是很安全, 于是就有人禁止关闭它.

这样, 浏览器SessionID无法存入cookie中, 这样, 网站就不能识别用户了, 也就导致所有人都无法登录了, 而这时, 解决办法就是, 修改web.config中cookieless="true", 即可解决某些用户禁用cookie这个问题.

<sessionState cookieless="true" mode="StateServer" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" stateConnectionString="tcpip=127.0.0.1:42424" timeout="30" />

cookieless="true"的官方解释是：如果用户浏览器不支持Cookie时启用会话状态, 看得不是很懂得样子.

不懂没关系, 实践一下, 这时再访问网站, 就会在url中多出一些字符 (如 http://localhost/(S(hbbvecjstz42edqcjobbyh45))/login.aspx) , 这就是把SessionID放Url中了, 不是不让放cookie中吗? 那就只好放url中了, 感觉很丑陋了.

技术上, cookieless的意思就是这样, 但实际上估计没有网站会这么干的, 直接告诉用户起用cookie不就完了, 不启用cookie就别访问我的网站, 爱来不来, 谁怕谁?

好文章 ASP.NET Session Management Internals
http://www.codeproject.com/KB/session/ASPNETSessionInternals.aspx?_sm_byp=iVVHtw6wWV103RW3