一文彻底搞懂cookie与session

网上有很多关于cookie，session的内容总结，但是在这里我还是想要以我的理解来解析一下二者的关系，彻底搞明白以后相信对以后的开发一定受益匪浅。

1.Cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。怎么办呢？服务器就给客户端们颁发一个通行证，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie 的工作原理。
Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie保存起来。
当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

2.我对Cookie的理解

cookie其实本质上就是一小段文本信息，而cookie数据的存储方式通常是以key-value键值对的形式存储，这个数据一般会包含sessionID字段,并且cookie具有不可跨域性，即浏览器访问谷歌不会携带百度的cookie，因此，我们可以理解为不同的url对应的不同浏览器窗口有一个独立的cookie存放容器，该容器中的key就是当前访问的服务器的url地址，而value就是cookie的对象集合，如下图所示。在这个cookie对象集合中可以看见很多条数据内容，每一条数据都是一个cookie对象，它们有自己的生命周期与作用范围。浏览器每次给服务器发送请求时，会加载cookie中的信息，并判断哪些属性是作用在该请求范围中的，筛选出来符合条件的属性数据，并和请求一起发送给服务器。

3.session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是Session。客户端浏览器再次访问时,服务器只需要从该Session中查找该客户的状态就可以了。每个用户访问服务器都会建立一个session并自动分配一个SessionId，用于标识用户的唯一身份。

4.cookie与session的关系

当用户浏览器输入窗口输入一个全新的url，第一次请求服务器的非静态数据的时候，服务器会根据用户提交的相关信息，创建对应的session，响应返回浏览器时会将该session唯一的标识信息SessionID返回给浏览器，浏览器接收到服务器返回的SessionID信息后，会将此信息以键值对的形式存入到该url对应的cookie对象集合中。 当用户第二次访问该服务器时，请求会自动判断该域名下是否存在cookie信息，如果存在则自动将cookie信息发送给服务器，服务器会从cookie中获取SessionID，在根据SessionID查找对应的Session信息。如果找到session证明用户已经登录并可继续执行后续的操作！具体过程如下图所示：

5.cookie与session的区别

1.cookie一般存放在客户的浏览器中，而session一般存放在服务器上。
2.session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。
3.单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点（整个网站）最多保存20个cookie。
4.cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。