浅析session&cookie

session&cookie没有出现的黑暗时代

　　大家都知道，HTTP协议是一种无状态的协议，本次请求下一次请求没有任何的关联，所有没有办法直接用http协议来记住用户的信息，试想一向，每一次点击一个链接都需要需要输入用户名和密码的感觉是一种怎样的酸爽体验，为了体现用户的友好性，于是聪明(lan duo)的程序员们就想到了session这种解决方案，用来记住用户的信息凭证。

session是什么

　　其实session没有多神奇的地方，只是保存在服务器的一小段数据而已，然后生成一个唯一标识，记作sessionid，然后把这个sessionid发送给用户，这样每次用户请求的时候只要带着这个sessionid，服务器就能知道这个用户是谁了

cookie是什么

　　cookie和session类似，只不过cookie保存在客户端，是以字符串的形式保存的，每次发送http请求的时候，都会把cookie放在请求的首部中，服务器可以通过解析首部从而得到cookie数据，从而得到用户信息，但是由于每次传输cookie需要消耗一定的带宽，所以为了节省资源，程序员们没有把所有的信息都保存在cookie中，而是生成了一个用来记录用户所有信息的id存放在cookie中

session&cookie的生命周期

　　如果没有设置生命周期，那么session和cookie的数据是保存在内存中的，随着浏览器的关闭，所有的数据都会丢失，但是如果设置了生命周期，那么在生命周期的时间内，不主动的释放session的话，session会非常顽固的一直存在服务器中，采用这一特性有时候可以进行关键字的记录

用通俗的概念理解session&cookie

　　假设服务器是一个大型的商场，用户每次请求就相当于一次购物，那么用户每次购物都需要把私人物品存放在存包处的柜子(session)，然后用户会得到一个钥匙(sessionid)，通常情况下，用户会把钥匙放在口袋中(cookie),每次购物结束，只需要拿着钥匙直接开启柜子(session)直接拿走自己的个人物品，那么就结束购物了。

　　但是实际情况总会有些偏差，假设今天客户是个妹子，穿的是裙子来没有口袋怎么办(客户端禁用了cookie),那么柜台人员只能告诉她你最好把钥匙放在手上(把sessionid放在表单的隐藏域中)或者直接带在脖子上(把sessionid放在url中)

　　钥匙放在手上或者口袋里，总有可能被有心人利用，偷到了钥匙，把客户的私人物品给顺手牵羊了(CSRF跨站请求伪造)，这样肯定会给用户造成一定的损失，虽然可以通过让管理处的管理人员记住客户的长相(IP地址)，但是还是没办法完全保证数据的安全性

　　有些时候商场也会造贼，柜子的锁被翘了(session丢失),给客户造成了相当严重的损失，所以为了避免这种情况，存包处的柜子一定要放在安全的地方并且有专人看守(seesion持久化).

　　商场经过这一系列的优化操作之后，开了分店了(负载均衡),这个时候如果客户来买东西，只把私人物品存到其中一个商场的话，逛完分店的时候还得回到原来的地方拿东西，肯定会给客户造成相当严重的困扰，于是聪明的商场管理人员就想到了一个折衷的解决方案，在两个商场之间设立了一个专门存放私人物品的地方(服务器集群，session共享)，存完东西之后你可以任意的选择一个商场进行购物，买完东西只需要去专门管理私人物品的地方拿回自己的东西就好了