Cookie的原理

先来思考一个问题
假设服务器有一个接口，通过请求这个接口，可以添加一个管理员
但是，不是任何人都有权力做这种操作的
那么服务器如何知道请求接口的人是有权力的呢？

答案是：只有登录过的管理员才能做这种操作

Cookie的工作原理：在某个浏览器中保存数据后，服务端会将数据写到客户端的本地中，以cookie的保存机制保存。
由于http协议的无状态，服务器忘记了之前的所有请求，它无法确定这一次请求的客户端，就是之前登录成功的那个客户端。

简单理解：就是将服务器端的东西写到客户端中，比如，使用账号登录某个网页时，大多浏览器会弹出一个提示框（访问是否保存账号与密码），选择保存后，保存的账号以及密码会使用cookie机制保存到客户端，下次再登录这个网站就不再需要输入账号与密码了。

Cookie的组成

cookie是浏览器中特有的一个概念，它就像浏览器的专属卡包，管理着各个网站的身份信息。

每个cookie就相当于是属于某个网站的一个卡片，它记录了下面的信息：

• key：键，比如「身份编号」
• value：值，比如袁小进的身份编号「14563D1550F2F76D69ECBF4DD54ABC95」，这有点像卡片的条形码，当然，它可以是任何信息
• domain：域，表达这个cookie是属于哪个网站的，比如yuanjin.tech，表示这个cookie是属于yuanjin.tech这个网站的
• path：路径，表达这个cookie是属于该网站的哪个基路径的，就好比是同一家公司不同部门会颁发不同的出入证。比如/news，表示这个cookie属于/news这个路径的。
• secure：是否使用安全传输
• expire：过期时间，表示该cookie在什么时候过期

当浏览器向服务器发送一个请求的时候，它会瞄一眼自己的卡包，看看哪些卡片适合附带捎给服务器
如果一个cookie同时满足以下条件，则这个cookie会被附带到请求中

• cookie没有过期
• cookie中的域和这次请求的域是匹配的，cookie是不在乎端口的，只要域匹配即可
• cookie中的path和这次请求的path是匹配的
  比如cookie中的path是/news，则可以匹配的请求路径可以是/news、/news/detail、/news/a/b/c等等，但不能匹配/blogs
  如果cookie的path是/，可以匹配所有的路径
• 验证cookie的安全传输
  如果cookie的secure属性是true，则请求协议必须是https，否则不会发送该cookie
  如果cookie的secure属性是false，则请求协议可以是http，也可以是https
  如果一个cookie满足了上述的所有条件，则浏览器会把它自动加入到这次请求中

具体加入的方式是，浏览器会将符合条件的cookie，自动放置到请求头中

如何设置cookie

由于cookie是保存在浏览器端的，同时，很多证件又是服务器颁发的

所以，cookie的设置有两种模式：

服务器响应：这种模式是非常普遍的，当服务器决定给客户端颁发一个证件时，它会在响应的消息中包含cookie，浏览器会自动的把cookie保存到卡包中
客户端自行设置：这种模式少见一些，不过也有可能会发生，比如用户关闭了某个广告，并选择了「以后不要再弹出」，此时就可以把这种小信息直接通过浏览器的JS代码保存到cookie中。后续请求服务器时，服务器会看到客户端不想要再次弹出广告的cookie，于是就不会再发送广告过来了。

服务器端设置cookie

客户端设置cookie

既然cookie是存放在浏览器端的，所以浏览器向JS公开了接口，让其可以设置cookie

document.cookie = "键=值; path=?; domain=?; expire=?; max-age=?; secure";

总结