web开发中的Cookie与Session技术

Cookie

Cookie的由来

HTTP协议是无状态的，无状态的意思是每次请求都是独立的，它的执行情况和结果与前面的请求和之后的请求都无直接关系，它不会受前面的请求响应情况直接影响，也不会直接影响后面的请求响应情况。

对服务器来说，记不住是谁刚刚发了HTTP请求，所以每次的请求都是全新的。

状态可以理解为客户端和服务器在某次会话中产生的数据，那无状态的就以为这些数据不会被保留。会话中产生的数据又是我们需要保存的，也就是说要“保持状态”。因此Cookie就是在这样一个场景下诞生。

Cookie的机制

Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）。Cookie名称和值可以由服务器端开发自己定义，这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等，服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态。

总结一下Cookie的特点：

• 浏览器第一次发送请求的时候，服务端设置cooki，第二次发送请求的时候，自动把携带该站点之前存储的Cookie信息。
• cookie数据保存在客户端，不安全。
• 服务端才可以设置Cookie数据。
• Cookie是针对单个域名的，不同域名之间的Cookie是独立的，并且每个域名的cookie数量是有限的。
• Cookie数据可以配置过期时间，过期的Cookie数据会被系统清除。

Session的由来

Cookie虽然在一定程度上解决了“保持状态”的需求，但是由于Cookie本身最大支持4096字节，以及Cookie本身保存在客户端，可能被拦截或窃取，因此就需要有一种新的东西，它能支持更多的字节，并且他保存在服务器，有较高的安全性。这就是Session。

问题来了，基于HTTP协议的无状态特征，服务端根本就不知道访问者是“谁”。那么上述的Cookie就起到桥接的作用。

用户登陆成功之后，我们在服务端为每个用户创建一个特定的session和一个唯一的标识，它们一一对应。其中：

Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；
唯一标识通常称为Session ID会被加密入用户的Cookie中。
这样该用户后续再次访问时，请求会自动携带Cookie数据（其中包含了Session ID），服务端通过该Session ID就能找到与之对应的Session数据，也就知道来的人是“谁”。

Cookie的机制
Cookie弥补了HTTP无状态的不足，让服务端知道来的人是“谁”；但是Cookie以文本的形式保存在本地，自身安全性较差；
所以我们为每个用户生成一个Session ID，用于区别不同的用户和他们的数据。Session ID会被加密写入cookie中。
所以我们就可以通过Session ID识别不同的用户，对应的在服务端为每个用户保存一个Session id数据，该Session数据中能够保存具体的用户数据信息。
这样每个人只需要保存自己的session id，而服务端要保存所有人的session id。

总结一下session 特点：

• Session必须依赖于Cookie才能使用。
• 数据量不受限。
• 数据是保存在服务端，是相对安全的。
• 但是需要后端维护一个Session服务，服务端压力大。

服务端保存session的方案：
session的复制与共享

refer：

Cookie和Session

一文带你彻底理解 Cookie、Session、Token