Session和Cookie

Session和Cookie
- cookie
- - cookie的生命周期
  - cookie作用域
- Session
- - session的生命周期
  - session作用域
- cookie和session安全性

为什么需要cookie和session？在web系统发展变迁时，web发展时随着需求的不断增多，交互的存在必然会引起多步操作，引入session和cookie用于保存操作，也就是对一种状态的记录。从记录状态的角度来识别session和ccokie。就拿最简单的登录功能来解说，当我们访问一个网站时，如果在此之前我们曾经登录过，浏览器会自动帮我们填充账号和密码。而cookie和session记录的就是这一种状态，不需要我们自己去填写，浏览器会自动记录状态。

cookie

cookie的原理，cookie是客户端连接服务器的一种凭证，保存于客户端。相当于如果一个客户端收到了服务器发过来的cookie，就相当于保存了这个服务器的资料，在以cookie的生命周期内都会使用同一个cookie对服务器进行交互，而不用浪费更多的资源。

了解一下cookie的工作流程：

客户端（浏览器）发起HTTP请求。
服务器接收到请求会进行cookie设置，也就是set-cookie（键值对）。
客户端接收到相应收到cookie，而后每次与服务器进行交互时都会携带cookie。

接下来我们抓一个包：

在这里插入图片描述

此时的cookie已经设置好，在接下来进行交互时就会自带一个cookie。

cookie的生命周期

在客户端与服务器交互结束的时候也就是cookie完成自己使命走向终结的时刻。

不过在有些时候cookie的生命周期并不是只由这个决定，在客户端连接服务器时，服务器有时候会设置cookie的生命周期，从停止交互开始计算，超过设置的生命周期，cookie此时会失效。不过当客户端保存了cookie时，再去连接服务器也是可以存在的。相当于，自己本地保存了账号密码，然后进行自动填充。

总结有两个因素：

自身存活时间，当服务器set-cookie时进行设定
客户端是否保留了cookie

cookie作用域

cookie是保存客户端的一种状态机制，当浏览器访问服务器收到cookie时，会将cookie进行存储。

单个字域名：cookie可以设置为单个字域名的所有页面共享

例如：将cookie设置为dream.com则所有以www.dream.com或blog.dream.com开头的url页面都可以访问该cookie。

单个路径下的多页面，cookie可以设置为单个url根目录的多个页面共享

例如：cookie设置为/root则所有以https://www.dream/root开头的url页面都可以访问该cookie

Session

session相比于cookie的安全性要高许多，session存储于服务器中，因为cookie的不安全因素才有了session。在前面我们已经了解了cookie的工作流程。也看见了cookie是什么。session就是在cookie的基础上再加一个sessionId。

sessionId的作用就是让服务器更好的识别对方客户端的身份，而且这个sessionId如果一旦被修改，服务器可以立马察觉对方身份异常，断开连接，从而保护客户端的信息。

服务器存储session有两种方式

cookie：通过将唯一一个sessionId 存储于客户端的cookie中，服务器可以从多个请求来识别出用户。
Server-side session storage（服务器端会话存储）：数据库方式，文件系统，缓存等方式，当用户认证以后，服务器创建sessionID与用户进行关联，任何需要保留的数据都会保存在服务器中的session存储。

这两种方法都提供了一个可靠的方法来跟踪和管理用户状态。