Http请求中的Cookie与Session

Http请求中的Cookie与Session

1. 简介

1.1 Cookie

HTPP Cookie 是服务器发送到用户浏览器并保存到本地的一小块数据，在浏览器下一次向同一个服务器发起请求的时候带上。

主要用于：

• 会话状态管理（登陆状态，购物车等）
• 个性化管理（用户自定义设置，主题）
• 浏览器行为跟踪

1.2. Session

Session 代表服务器与客户端一次会话的过程，在服务器端进行存储。

2. 区别

• 作用范围不同，Cookie 在客户端，Session 在服务器
• 存取方式不同，Cookie 只能保存 ASCII，Session 可以任意数据类型
• 有效期不同，Cookie 可以设置长时间；Seesion 失效时间较短
• 可存储大小不同，单个 Cookie 保存的数据不超过 4K，Session 不止

3. 联系

用户第一次请求服务器的时候，服务器会创建对应的 Session，返回给客户端时，会将 Session 的 SessionID 返回给浏览器，浏览器将 SessionID 保存到 Cookie 中，并记录 SessionID 所属域名。

第二次请求时，浏览器会判断该域名下面是否有对应 Cookie，有的话会将 Cookie 发送给服务端，服务端获取到 Cookie 中的 SessionID 之后就可以认为这个用户之前登陆过。

SessionID 是 Cookie 和 Session 之间的桥梁。

若浏览器禁止了 Cookie，服务端就不能根据 Cookie 中的 SessionID 判断用户是否登陆，可以使用以下方式解决：

• 请求携带 SessionID 参数
• Token 机制，用户登陆之后返回一个 token 给客户端，客户端请求携带 token

分布式 Session：
一般来说，后端服务由多台服务器提供服务，如果用户在 A 服务器中登陆了，若 B 服务器中没有这个用户的 Session 就会出现问题，所以需要对 Session 进行管理。

• Nginx 的 ip_hash 策略，根据请求 IP 的 hash 值分配到指定服务器，这样就避免了访问不同服务器的情况
• Session 复制，每台服务器都保存同样的 Session
• 共享 Session，将 Session 放到缓存中间件中统一管理

4. 实例分析（如有问题，欢迎指正）

（1）浏览器端用户输入用户名和密码，发送请求登录，
（2）请求到达服务器端，调用后端的处理接口，将输入信息以及其他额外信息（本例中的用户地址）写到Session中，伪代码如下

User user = new User();
user.setName("xiaoWang");
user.setPwd("123456");
user.setAddress("中国山东青岛");
request.getSession().setAttrbutes("currentUser", user);

（3）服务器端生成sessionId与响应值resp一起返回给浏览器，
（4）浏览器将sessionId保存到Cookie中，
（5）第二次请求时，浏览器发送请求携带Cookie信息，
（6）服务器验证用户是否登录过，
（7）验证通过，从Cookie中取出sessionId，根据这个key找到对应的Session，我们就可以获取Session中保存的信息，伪代码如下

Object o = request.getSession().getAttibutes("currentUser", user);
User user = (User) o;

（8）额外注意：若后端服务由多台服务器提供服务，需要将Session放到缓存中间件中（如Redis）。

5. 补充：HttpServletRequest的getSession()方法逻辑分析

【跳转链接】HttpServletRequest的getSession方法逻辑分析，为什么请求中添加Cookie信息就能获取到Session存储的信息？