3 分钟带你深入了解 Cookie、Session、Token

经常会有用户咨询，CDN 是否会传递 Cookie 信息，是否会对源站 Session 有影响，Token 的防盗链配置为什么总是配置失败？为此，我们就针对 Cookie、Session 和 Token，来谈谈它们的用处是什么。

Cookie

Cookie 虽然听起来不是技术名词，但却为互联网提供一项至关重要的功能：“记录访问过的网站或正在访问的网站。”

HTTP 协议是无状态的，服务器不知道浏览器上一次访问做了什么，也无法对用户会话进行跟踪连接。为此就引入 Cookie 技术，Cookie 是由服务器发送到客户端浏览器的一小段文本文件，包含了网站访问活动信息。例如首选项语言或其它一些设置。浏览器会保存这些数据，并在客户端下次访问该网站时调用它们，提供更方便和个性化的访问体验。

举个简单的例子：我们在浏览购物网站时，会将选购商品添加到购物车。如果没有 Cookie 技术，因为 HTTP 是无状态协议，它不会知道之前添加选购哪些商品，放在哪个用户的购物车中。而应用 Cookie 技术后，Cookie 才会将这些信息在会话中发送给服务器，服务器读取 Cookie 信息就知道是哪些用户购物车中添加的商品信息。

Cookie 的属性，就意味着它会暴露用户的一些隐私。Cookie 存放了客户端留在网站的信息，它会根据用户喜好和访问信息记录，推送一些用户喜欢的信息。我们在浏览网页中，常常看到在线广告，大多数在线广告就是依附 Cookie 技术对客户端浏览器进行推广，在网页中显示相关度较高的广告。

Session

Session 表示的是 C/S 架构中服务器和客户端一次会话的过程，用来保存认证用户信息。Session 是一种 HTTP 存储机制，目的是为无状态的 HTTP 提供持久机制。这样用户在应用程序的 Web 页面跳转时，就不会因为 HTTP 无状态的性质导致对话丢失，从而使访问会话一直保持下去。

服务器端存储用户数据信息。必须知道每个用户分别是谁，那么每个用户必须有个名字，或者说是 ID，这就是所谓的“Session ID”。用户请求后，服务器会生成 Session ID 并返还，后续用户的每次请求，都会带上这个 Session ID，然后服务器通过在数据库的搜索对应，找到该用户及其相关信息，比如对应的用户是登录状态还是超时登出之类的。

信息状态存在服务器端，用户只需要留存 Session ID。大多数时候通过 Cookie 传递存放，当然也可以用 ajax 传，存 Local Storage 或 Session Storage 或 IndexDB 或 Web SQL，反正只要用户拿到并存着就行，甚至可以用 URL 重写的方式传递。

比如：二狗子在 www.a.com/login.php 网站中登陆，同时希望 www.a.com/index.php 也是登陆状态。但这是两个不同的页面和 HTTP 请求，并且 HTTP 是无状态协议，是无关联的，也就无法在 /index.php 中读取 /login.php 登陆状态。于是我们就可以依靠 Session 会话技术，它通过保持会话的方式，将多次 HTTP 请求关联到一个会话中，保持数据传输的完整性。

Token

Token 是“令牌”的意思，主要是用于身份的验证方式。以又拍云的 Token 防盗链为例，Token 通过对时间相关的字符串进行签名，将时间、签名信息通过一定的方式传递给 CDN 节点服务器作为判定依据，CDN 边缘节点依据约定的算法判断来访的 URL 是否有访问权限。如果通过，执行下一步；如果不通过，响应 HTTP 403 状态码或者通过 302 跳转到其他 URL。

如上图所示，整个 Token 防盗链的实现需要如下几个部分来配合：

客户端：负责发送原始请求给客户端业务服务器以及发送带签名的 URL 给 CDN 节点进行验证；
业务服务器：根据约定的算法生成带 _upt 参数的 URL 返回给客户端；
CDN 节点：负责和客户端进行时间、签名校验；

Token 的实现方式

在了解 Token 实现需要客户端、服务器端、CDN 节点来配合后，再来简单看下 Token 具体是如何实现的：

步骤1：客户端业务服务器生成验证信息，验证信息的生成由业务服务器负责，具体的加密过程需要确认如下事项：

确认过期时间的格式，默认采用 UNIX 时间戳格式
确认验证信息中的密文，用户计算验证信息，需要和 CDN 平台约定
确认验证信息时加入的参数，默认为 URL 的路径部分
根据上文的算法说明计算验证信息，其中请求 URL 中的验证参数为 _upt

步骤2：CDN 节点验证过程

根据约定解析取出过期时间，和当前 CDN 节点服务器时间进行比较，确认请求是否过期
根据上文约定好的算法计算方式，计算出 MD5 加密串后，和 URL 中的加密串进行比较，验证加密串是否一致

如果以上两个步骤都验证通过，请求才会被认为是合法的，这时 CDN 会请求资源响应给客户端，否则会被认为是非法请求，直接响应 HTTP status code 403。

最后，做下简单的总结：

Cookie 存放在客户端，用来保存客户端会话信息。由于存储在客户端，它的安全性不能完全保证。

Session 存放在服务器端，用户验证客户端信息。如果把 Cookie 比喻成电话号码，那么 Session 就是记录所有人信息的电话簿。由于存储在服务器，安全性有一定的保证。

Token 是一种认证方式。通过预定的规则来计算 Token 值并发送给服务器进行访问验证。

读完这篇文章，我相信你已经对 Cookie、Session、Token 有详尽的了解了。