了解 Cookie 和 Session：Web 开发中的身份验证机制

数据来源

部分数据来源：ChatGPT  

Cookie

01 Cookie简介

        HTTP是一个基于请求与响应 · 无状态的 · 应用层的协议。

        无状态：服务器不知道用户上一次做了什么 · 这严重阻碍了交互式Web应用程序的实现

        Cookie：网站为了辨别用户身份 · 存储在用户本地终端上的数据 · Cookie是由服务端生成的 · 发送给客户端（通常是浏览器）的

        Cookie 总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie

        內存 Cookie：由浏览器维护 · 保存在内存中 · 浏览器尖闭后就消失了 · 其存在时间是短暂的

        硬盘Cookie：保存在硬盘里 · 有一个过期时间 · 除非用户手工清理或到了过期时间 · 硬盘 Cookie 不会被刪除 · 其存在时间是长期的

02 Cookie的作用

Cookie的根本作用就是在客户端存储用户访问网站的一些信息。

1. 记住密码·下次自动登录
2. 购物车功能
3. 记录用户浏览数据·进行商品(广告)推荐.

缺陷：

1. Cookie会被附加在每个HTTP请求中，所以无形中增加了流量
2. 由于在HTTP请求中的Cookie是明文传递的 · 所以安全性成问题·(除非用HTTPS）
3. Cookie的大小限制在4KB左右 · 对于复杂的存储需求来说是不够用的.

03 Cookie 工作原理

1、创建 cookie

• 用户浏览网站
• 网站服务器生成唯一识别码( cookie id）
• 默认一般是会话级别的 cookie · 存储在浏览器内存中
• 将cookie放入到http响应报头，将Cookie插入到一个 Set-Cookie HTTP响应报头中

2、设置存储 cookie

        浏览器收到该响应报文之后 · 根据报文头里的Set-Cookied特殊的指示 · 生成相应的 Cookie · 保存在客户端 · 该Cookie里面记录着用户当前的信息 

3、发送Cookie

        用户再次访问该网站时 · 浏览器首先检查所有存储的 Cookies · 如果存在某个该网站的 Cookie，则把该 cookie 附在请求资源的HTTP请求头上发送给服务器。

4、读取 cookie

        服务器接收到用户的HTTP请求报文之后 · 从报文头获取到该用户的Cookie，从里面找到所需要的东西。

Session

01 简介

        Session 代表服务器与浏览器的一次会话过程 · 这个过程是连续的，也可以时断时续的 · Session是一种服务器端的机制 · Session对象用来存储特定用户会话所需的信息

        Session由服务端生成 · 保存在服务器的内存、缓存、硬盘或数据库中。

02 Session作用

Session的根本作用就是在服务端存储用户和服务器会话的一些信息

1. 判断用户是否登录
2. 购物车功能

03 Session工作原理

        当用户访问到一个服务器 · 如果服务器启用 Session · 服务器就要为该用户创建一个 SESSION，并生成一个与此 SESSION 相关的 SESSION ID · 这个 SESSION ID是唯一的、不重复的、不容易找到规律的字符串 · 这个 SESSIOND将被在本次响应中返回到客户端保存 · 而保存这个 SESSION ID的正是 COOKIE · 这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器 。

Cookie和 Session的区别

1、存放位置不同

• Cookie保存在客户端
• Session保存在服务端

2、存取方式的不同

• Cookie中只能保管ASCll字符串 · 假如需求存取Uncode宇符或者二进制数据 · 需求先进行编码Session中能够存取任何类型的数据

3、安全性不同

• Cookie存储在浏览器中 · 对客户端是可见的 · 客户端的一些程序可能会窥探、复制以至修正 Cookie中的内容
• Session存储在服务器上 · 对客户端是透明的在敏感信息泄露的风险·

更加详细的比较

        在 Web 开发中，Cookie 和 Session 是常用的身份验证机制。它们都是用来跟踪用户会话和处理身份认证的方式，但它们之间存在一些差异。

        Cookie 是一个存储在浏览器端的小型文本文件，用于存储有关用户访问过的网站和与该网站相关的信息，例如登录凭据、购物车数据等。当用户再次访问该网站时，服务器可以通过读取浏览器中的 Cookie 信息来识别用户身份。开发者可以使用 JavaScript 来设置和读取 Cookie 信息，同时可以进行一些简单的加密。但是，由于 Cookie 存储在客户端，可能被窃取和篡改，因此需要谨慎使用，并遵循安全开发最佳实践，例如将敏感数据加密并仅使用HTTPS协议传输。

        Session 是另一种跟踪用户会话的机制。与 Cookie 不同，Session 数据存储在服务器端而非客户端浏览器中，在用户访问网站时创建一个唯一的 session ID，通常保存在 Cookie 中，来标识该用户的身份。服务器在处理用户请求时会检查 session ID 并使用相应的 session 数据对之前存储的用户状态进行恢复。相比 Cookie，Session 更安全可靠，但是要求存储更多服务器端资源。为了防止 Session 的滥用，开发者需要对 Session ID 进行加密，并注意设置适当的过期时间和策略。

总之，Cookie 和 Session 都是常用的身份验证机制，选择何种方式应根据具体的需求和安全要求进行权衡。