由于HTTP访问是无状态的,所以服务器无法区分哪些请求是来自于同一个用户,让一个用户每次访问都需要身份验证是很蠢的,为了解决这一问题,一种客户端的解决方案是cookie,另有一种服务端的解决方案是session,他们都是为了让服务器知道“上一次是你,这一次又是你”。
Cookie
用户第一次登陆成功后,服务器在响应报文的响应头中会增加一个Set-cookie:cookie字段,cookie中一般保存着该用户的身份信息,浏览器收到响应报文后,解析请求头,把Set-cookie字段的内容作为cookie保存到本地。
此后浏览器对该域名的所有请求中请求头中都会增加一个cookie字段,服务器收到请求报文后,从请求头中拿到cookie,由cookie中的信息获取访问者的身份。
cookie有两个问题:
一、cookie中的用户信息是存储在本地的,对于用户是可见并且可获取的,安全性较差,比如只要知道了某网站cookie的编写格式,可以轻松的自己写一段cookie来冒充他人身份。
一个可选的方案是为cookie加密,服务器收到cookie后解密获取用户信息。
二、cookie的容量是有限的,无法存储很多信息来实现更高级的功能。
Session
因为cookie的缺点,session应运而生。session也是依赖于cookie实现的,用户第一次登陆成功后,服务器会为该用户生成一个session对象,这个session对象用一段随机生成的文本作为session_id,可以把session理解为一个带编号(session_id)的柜子,返回的响应头中会有Set-cookie字段把session_id发给用户。浏览器将session_d作为cookie存储到本地。用户之后的访问请求中都会在cookie中附加session_id,服务器根据session_id查找相应的session“柜子”,柜子中有相应的用户身份信息,个人配置,用户权限信息,session过期时间等,服务器由此可以识别出访问者的身份,同时可根据这些信息动态地生成适合该用户的页面。
由于涉及到用户信息的数据是存储在服务器端的,用户本地保存的仅仅是一个随机文本的“号码牌”,安全性有所提升,也解决了cookie的容量限制的问题。