在登录B站时，有登录和未登录两种状态，

• 问题：B站是如何认识我这个登录用户的？
• 问题：HTTP是无状态、无连接的，怎么能够记住我？

HTTP协议是无状态、无连接的。比如客户端（浏览器）在访问a.html时，服务器就会对客户端进行响应，响应正文部分会带上a.html的内容给浏览器客户端。由于HTTP是无状态的，当客户端浏览器再次发起请求时，即便请求的是服务器上的某一种同一份资源（历史上请求过的），然而服务器并不清楚曾经同一个客户端历史上请求过同一个资源，只能把这个资源再返回给客户端，这种特性称为无状态。也就是说，客户端发起多少次请求，服务器就要把对应的资源在网络中进行多少次传输。所谓无连接，就是HTTP协议通信本身不需要连接（和tcp面向连接无关，是两个维度的概念）。

但是这样的特性会面临很多问题，比如有一个视频网站，有的视频才能让普通用户浏览（甚至没有登录）；有的视频必须用户登录之后，才能观看完整视频；当然还有的视频，必须是会员登录，才能观看。我们在观看视频时，一会儿看这种，一会看那种，但是这个网站要根据不同的用户身份（没有登录的、登录的、会员），对不同的视频内容做不同的决策，所以网站要识别用户身份。在观看完未登录就能看的视频后，又打开了登录才能看的视频，那服务器怎么知道我历史上曾经登录过呢？HTTP本身是无状态的，怎么能够识别出来我的身份呢？此时就需要使用cookie和session技术！这项技术的用途之一就是来协助网站在基于HTTP协议的基础之上帮助网站标识一个用户对应的身份，也可以称之为登录会话管理。另外一个例子，我们在平常都会遇到过，在第一次登录某个网站需要输入账号密码，后面很长时间再次登录就无需输入账号密码即可，这也是这种技术的体现。

HTTP Cookie

定义

HTTP Cookie是服务器发送到用户浏览器并保存在浏览器上的一小块数据，它会在浏览器未来向同一台服务器再次发起请求时被携带并发送到服务器上。这用于告知服务器两个请求是否来自同一浏览器。

工作原理

• 当用户第一次访问网站时，服务器会在响应的HTTP头中设置Set-Cookie字段，用户发送Cookie到用户的浏览器。
• 浏览器在接收到Cookie后，会将其保存在本地（按照域名进行保存）
• 在之后的请求中，浏览器会自动在HTTP请求头中携带Cookie字段，将之前保存的Cookie信息发送给服务器。

在浏览器第一次登录网站时，会把账号密码通过http登录发给服务器，而服务器会认证这个用户，在应答时，使用Set-Cookie：用户基本信息（用户名密码）（这是一个报头属性），而浏览器会识别到Set-Cookie，发现服务器要求我在浏览器内部把设置的用户基本信息记录在浏览器内部，所以浏览器就要赶紧把服务器给我写回来的用户的基本信息保存起来。从此往后，浏览器再次访问这个网站时，会给所有的http请求报头中自动带上用户基本信息，这样服务器在每次被这个浏览器请求时，都会拿到用户在第一次登录时输入的账号密码，进而对用户身份进行合法化鉴定。

分类

在浏览器保存用户基本信息时，有两种方案：

• 内存级，会话Cookie：保存在内存中，关闭浏览器，这块内存就被释放。
• 文件级，持久Cookie：在浏览器的安装路径，以某种方式保存在文件中，即使浏览器关掉，Cookie还在。带有明确的过期时间或持续时间。
• 如果Cookie是一个持久性的cookie，那么它是与浏览器相关的，是特定目录下的一个文件。但直接查看这些文件可能看到乱码或无法读取的内容，因为Cookie文件通常以二进制或sqlite格式存储。一般可以在浏览器对应的选项查看即可。

认识Cookie

基本格式

关于其它可选属性的解释

• expires=<date>：设置Cookie的过期时间/日期。如果未指定此属性，则Cookie默认会话为Cookie，即当浏览器关闭时到期。
• path=<some_path>：限制Cookie发送到服务器的哪些路径。也就是在访问指定路径时才会提交Cookie。如果path=/，表示访问当前网站所有路径都会提交Cookie。
• domain=<domain_name>：指定哪些主机可以接受Cookie。默认为设置它的指针。
• secure：仅当使用HTTPS协议时才发送Cookie。这有助于防止Cookie在不安全的HTTP连接中截获。
• HttpOnly：标记Cookie为HttpOnly，意味着该Cookie不能被客户端脚本访问。

其中，username、expires、path是最重要的属性。

单独使用Cookie的问题

我们写入的Cookie数据如果是用户的私密数据，比如用户名密码、浏览痕迹，本质问题在于这些用户私密数据在浏览器（用户端）保存，非常容易被人盗取，除了被盗取，还有就是用户私密数据也就泄漏了。

为了解决这样的问题，引入了HTTP Session。

HTTP Session

定义

HTTP Session是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于HTTP协议是无状态的，因此服务器需要通过Session来记住用户的信息。

工作原理

• 当用户首次访问网站时，服务器会为用户创建一个唯一的Session ID，并通过Cookie将其发送到客户端。
• 客户端在之后的请求中会携带这个Session ID，服务器通过Session ID来识别用户，从而获取用户的会话信息。
• 服务器通常会将Session信息存储在内存、数据库或缓存中。

实际会话保持的做法是Cookie+Session！

安全性

Session是相对安全的！与Cookie相似，由于Session ID是在客户端与服务器之间传递的，因此也存在被窃取的风险。

之前的Cookie存在两个问题：

1.身份被冒认：为了解决这个问题，session是服务器创建并管理的，一旦查到Session ID有问题，让这个Session ID失效就可以了。那怎么知道这个client的Session ID是一个非法的呢？这就需要和业务结合才可以。

2.私密信息被泄露：虽然Cookie被盗取了，但是用户只泄漏了一个Session ID，私密信息暂时没有被泄露的风险。

超时和失效

Session可以设置超时时间，当超过这个时间后，Session会自动失效。

用途

• 用户认证和会话管理
• 存储用户的临时数据（如购物车内容）