session和cookie

这里我们不把目的设为：session和cookies的区别，只需要理解他们各自的意思即可。

1.这里有个场景：

在登录过一个网站，只要保持浏览器处于打开状态，即使把有关该网站的页面都关掉，再访问该网站依旧会处于登录状态。反之，把浏览器关掉，下次再访问该网站就处于离线状态。举个例子，我访问了酷狗和CSDN的网站，一边听歌一边写写东西，出于某种原因我把CSDN的网页关了，此时我再访问CSDN时可以发现依旧处于登录状态。但如果我关掉的是浏览器，则需要登录后才能继续写东西，当然，这里不考虑某些网站开发出了自动登录等功能。

网页是基于Http协议进行解析的，而Http是无状态协议。所谓的无状态便是下一次访问并不知道上一次访问的情况，每访问完一次后便断开连接。那么，服务器是怎么识别访问的用户身份的呢？这里便运用到了Session和Cookie。了解过Session和Cookie的人都会知道，Session是保存在服务器端的，而Cookie是保存在客户端的。那么，在服务器Session是怎么识别用户？

2.Cookies机制原理

       浏览器第一次发送请求，没有带cookies，服务器收到之后，在数据库找，找到有相关权限。服务器就给出相应，并设置一个cookie。浏览器收到服务器发送过来的cookie，就开始解析cookie，并把这个cookie保存到本地。这样，以后浏览器每次发送请求，都带上cookie，服务器会对cookie进行解析，发送这个cookie是之前服务器设置的cookie，服务器就开始给浏览器发送HTTP响应，这样，一个完整的交互流程就走下来了。

3.Session机制原理

       首先浏览器发送一个HTTP请求，服务器端完成认证之后，会对这个会话进行保存，也就是会存储Session，这个可能存在服务上，可能存在数据库或者redis上。服务器给出一个响应，带上cookies-session-id的信息。浏览器拿到响应之后，也会保存到本地，但是这个时候cookie很小，可能只有一个id。浏览器开始发送HTTP请求，带上cookie，服务器上解析sessionid，给出HTTP响应。

总结：

在每次程序初始化的时候，通过客户端查看Cookie的值可以看到存在一个SessionId。即程序初始化时，服务器通过Response把SessionId返回给客户端，而客户端则把它用Cookie存放起来。接下来每次访问该网站的时候都会带着这个SessionId访问，后台根据SessionId便可以知道用户的状态，而一旦浏览器被关闭，改Cookie也会被默认清除掉。
浏览器关闭后，清除掉的是SessionId而不是Session，此时，Session还是依旧存在服务器中。在新的访问过程中带给后台不再是之前的SessionId，找不到之前对应的值也就不能够识别用户的身份。而浏览器不关闭，保存SessionId值的cookie没有被删除，排除人工修改的可能，新的访问带给后台的还是原来的SessionId，服务器通过SessionId找到Session的值，因此也就保持原来的状态。其实当浏览器关闭时，sessionid和cookies是一块被删除的，因为sessionid存在于cookies中，而你不关闭两者都存在的情况。关闭当前网页时，一般都会有一个时间限制，超时后cookies失效。