由于 HTTP 协议是无状态的协议, 所以服务端需要记录用户的状态时, 就需要用某种机制来识具体的用户, 这个机制就是 Session.

• Session 是在服务端保存的一个数据结构, 用来跟踪用户的状态, 这个数据可以保存在集群、数据库、文件中
• Cookie 是客户端保存用户信息的一种机制, 也是实现 Session 的一种方式。可以理解为一个文件, 不会因为浏览器的关闭而消失

思考一下服务端如何识别特定的客户？

每次 HTTP 请求的时候, 客户端都会发送相应的 Cookie 信息到服务端。实际上大多数的应用都是用 Cookie 来实现 Session 跟踪的, 第一次创建 Session 的时候, 服务端会在 HTTP 协议中告诉客户端, 需要在 Cookie 里面记录一个 Session ID, 以后每次请求把这个会话 ID 发送到服务器, 服务器就知道你是谁了

Cookie 常见的应用场景

Cookie 是浏览器保存信息的一种方式, 可以理解为一个文件, 保存到客户端了啊, 服务器可以通过响应浏览器的 set-cookie 的标头, 得到 Cookie 的信息。你可以给这个文件设置一个期限, 这个期限呢, 不会因为浏览器的关闭而消失啊。其实大家应该对这个效果不陌生, 很多购物网站都是这个做的, 即使你没有买东西, 他也记住了你的喜好, 现在回来, 会优先给你提交你喜欢的东西啊, 他们也真是煞费苦心了啊

Cookie 的安全隐患

Cookie 防篡改机制

link

• https://developer.aliyun.com/article/179723 (opens new window)
• Cookie 输出相关的安全隐患 (opens new window) todo