一、概念
1.Cookie是个啥?
浏览器提供的持久化存储数据的机制
2.Cookie从哪里来?
Cookie是从服务器返回给浏览器的,服务器代码中由程序员决定要把啥样的信息保存到客户端这边;
3.Cookie到哪里去?
Cookie会在后续浏览器访问服务器的时候带到请求的header中发送给服务器;
服务器通过cookie来识别客户端
4.Cookie保存在哪里?
存储在浏览器(客户端)所在主机的硬盘中;
浏览器根据域名来分别存储;
5.cookie最典型的应用
标识用户身份信息;
网站有登录功能。
6.Session
会话机制 (Session)的本质就是一个 "哈希表", 存储了一些键值对结构. key 就是令牌的 ID(token/sessionId), value 就是 用户信息(用户信息可以根据需求灵活设计)。
sessionId 是由服务器生成的一个 "唯一性字符串", 从 session 机制的角度来看, 这个唯一性字符串 称为 "sessionId". 但是站在整个登录流程中看待, 也可以把这个唯一性字符串称为 "token". sessionId 和 token 就可以理解成是同一个东西的不同叫法(不同视角的叫法)。
使用:
- 当用户登陆的时候, 服务器在 Session 中新增一个新记录, 并把 sessionId / token 返回给客户端. (例 如通过 HTTP 响应中的 Set-Cookie 字段返回).
- 客户端后续再给服务器发送请求的时候, 需要在请求中带上 sessionId/ token. (例如通过 HTTP 请求 中的 Cookie 字段带上).
- 服务器收到请求之后, 根据请求中的 sessionId / token 在 Session 信息中获取到对应的用户信息, 再进行后续操作.
二、Cookie 和 Session 的关联和区别
1.Cookie里面可以存各种键值对(还可以存别的),Session则专门用来保护用户的身份信息。
Cookie 是客户端的机制. Session 是服务器端的机制.
2.Cookie 和 Session 经常会在一起配合使用. 但是不是必须配合.
完全可以用 Cookie 来保存一些数据在客户端. 这些数据不一定是用户身份信息, 也不一定是 token / sessionId。
Session 中的 token / sessionId 也不需要非得通过 Cookie / Set-Cookie 传递。
3.Session也可以不搭配Cookie使用(手机app登录服务器,服务器也需要Session,此时就没有Cookie的概念)Cookie和浏览器强相关;
4.Cookie是属于HTTP协议的一个部分,Session则可以和HTTP无关(TCP,websocket也可以用)