HTTP协议之Session和Cookie

严格的说，Session和Cookie并不是http协议的一部分。由于HTTP协议设计原则是无状态的，但是近年来出现了种种需求，其中cookie的作用就是为了解决HTTP协议无状态的缺陷所作出的努力。后来出现的session机制则是又一种在客户端与服务器之间保持状态的解决方案。
具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上它还有其他选择。
Session是可以存储针对与某一个用户的浏览器以及通过其当前窗口打开的任何窗口具有针对性的用户信息存储机制。

1. Session的使用
当浏览网站时，客户端会发出一个指令请求SESSIONID以及对各个类型数据的下载许可，如图片，声音以及FLASH。
当为某个客户端的请求创建一个session的时候，首先检查这个客户端的请求里是否包含一个session标识(sessionid)，如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个 session检索出来使用。如果客户端请求不包含，则为创建一个session并且生成一个与此session相关联的session id，session id的值是一个既不会重复，又不容易被找到规律以仿造的字符串。


数据格式如下：
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host:www.wantsoft.com
Connection: Keep-Alive

服务器应答，在应答头中返回一个未用的SESSIONID
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private

此时这个浏览器程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC

而当浏览器在访问任何这个站点页面时，会把这个SESSIONID(IBOMFONAOJFEEBHBPIENJFFC)发送给服务器，服务器通过这个SESSIONID来区分客户机。

通常大家认为，只要关闭浏览器，session就消失，其实这是错误的理解。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留。由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。

在使用Wininet类进行编程时，不需要自行考虑SessionID，Wininet类会自动处理SessionID。

2. COOKIE

保存session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。cookie的命名方式类似于SEEESIONID。
有时cookie被人为的禁止，所以出现了其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。这种技术叫做URL重写，就是把session id直接附加在URL路径的后面，附加方式也有两种，一种是作为URL路径的附加信息，表现形式为http://www.wantsoft.com/index.asp;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一种是作为查询字符串附加在URL后面，表现形式为http://www.wantsoft.com/index?js ... 99zWpBng!-145788764

当设置COOKIE的时候，服务器会反馈给客户端浏览器一条响应。浏览器据此生成COOKIE并存放，在下次访问这个站点并且COOKIE未失效时可以使用这个信息。



当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,因为他可以保留相当长的时间(在COOKIE记录被删除或者失效日期之前)
而SESSION就不可以，他不会保留太长时间，而且IE在关闭后就自动清除了SESSIONID记录
在下次登入的时候会请求新的SESSIONID


但存储用户名和密码或者网站的配色方案这样的信息，可以使用COOKIE。
如何设置Cookie?
InternetSetCookie()
如何读取Cookie?
InternetGetCookie().