Cookie和Session的使用和区别

 我们浏览网页使用的HTTP协议是无状态的协议，就是说网页一关闭，浏览器和服务端的连接就会断开，下次打开网页又要重新连接，服务器无法从你一打开的连接上恢复上一次的会话，服务器不知道是你又回来了。

 

一.Cookie

有了cookie情况就不同了，除非我们之前把你的信息记录在cookie里，在你打开网页和服务器建立连接的时候，把cookie记录的你的信息一起发送给服务器，这样服务器就能从cookie接收到的信息里识别你的身份，让页面为你提供特别属于你的内容。

        我们访问浏览器的时候，浏览器会发送一个HTTP请求到服务器端；服务器会发送一个HTTP响应到客户端，其中包括Sst-Cookie，意思就是浏览器建立一个cookie保存服务器指定的内容，比如用户信息和用户操作信息；浏览器保存好信息之后，下次我们再次访问网站的时候，浏览器再发送HTTP请求到服务器端时都会携带之前保存的cookie；服务器端会从收到的cookie中识别用户身份，就能让页面为你提供专门属于你的内容了。

        比如我们从网站登陆成功，浏览器就会把你的信息放在cookie里，下次再访问这个网站的时候，服务器就能根据收到的cookie识别出是你，帮你自动登陆，显示专属于你的内容。

缺点：

1.cookie存储的数量和字符数量都有限制，只能存储几十个，不超4096左右个字符。

2.cookie存储在用户浏览器里也不安全，任何人都能直接查看。在浏览器console控制台输入document.cookie即可查看

 

二.Session 

服务器会向客户浏览器发送一个每个用户特有的会话编号sessionID，让他进入到cookie里。

 服务器同时也把sessionID和对应的用户信息、用户操作记录在服务器上，这些记录就是session。

 客户端浏览器再次访问时，会发送cookie给服务器，其中就包含sessionID。

 服务器从cookie里找到sessionID，再根据sessionID找到以前记录的用户信息就可以知道他之前操控些、访问过哪里。

 

缺点：

1.session保存在服务器端比较安全，但是可能需要记录千百万用户的信息，对服务器的存储压力很大，所以我们应该有选择的合理使用cookie和session。

2.用户认证之后，服务端做认证记录，如果认证的记录被保存在内存中的话，这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源，这样在分布式的应用上，相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

3.因为是基于cookie来进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造(CSRF)的攻击。