什麽是cookie？什麽是session？session和cookie有什麽區別？

阿新 • • 發佈：2018-07-19

篡改設置般的 red 詞語怎麽很好愛好清除

在技術面試中，經常被問到“說說Cookie和Session的區別”，大家都知道，Session是存儲在服務器端的，Cookie是存儲在客戶端的，然而如果讓你更詳細地說明，你能說出幾點？今天個推君就和大家談談“Cookie和Session”的那些事兒。

Cookie是什麽？

從它的詞語本身含義來看：

Cookie：

n. 餅幹；小甜點

N-COUNT A cookie is a piece of computer software which enables a website you have visited to recognize you if you visit it again. 再次訪問某一網站時，能令網站識別訪問人的計算機軟件。

Cookie是客戶端保存用戶信息的一種機制，用來記錄用戶的一些信息。如何識別特定的客戶呢？cookie就可以做到。每次HTTP請求時，客戶端都會發送相應的Cookie信息到服務端。它的過期時間可以任意設置，如果你不主動清除它，在很長一段時間裏面都可以保留著，即便這之間你把電腦關機了。

既然它是存儲在客戶端的，換句話說通過某些手法我就可以篡改本地存儲的信息來欺騙服務端的某些策略，那該怎麽辦呢？我們先按下不表，來看看另外一位朋友 —— Session。

Session是什麽？

同樣，我們先來看看釋義：

Session：

普通釋義：n. 會議；（法庭的）開庭；（議會等的）開會；學期；講習會

計算機釋義：會話

Session是在無狀態的HTTP協議下，服務端記錄用戶狀態時用於標識具體用戶的機制。它是在服務端保存的用來跟蹤用戶的狀態的數據結構，可以保存在文件、數據庫或者集群中。在瀏覽器關閉後這次的Session就消失了，下次打開就不再擁有這個Session。其實並不是Session消失了，而是Session ID變了，服務器端可能還是存著你上次的Session ID及其Session 信息，只是他們是無主狀態，也許一段時間後會被刪除。

實際上Cookie與Session都是會話的一種方式。它們的典型使用場景比如“購物車”，當你點擊下單按鈕時，服務端並不清楚具體用戶的具體操作，為了標識並跟蹤該用戶，了解購物車中有幾樣物品，服務端通過為該用戶創建Cookie/Session來獲取這些信息。

如果你的站點是多節點部署，使用Nginx做負載均衡，那麽有可能會出現Session丟失的情況（比如，忽然就處於未登錄狀態）。這時可以使用IP負載均衡（IP綁定 ip_hash，每個請求按訪問ip的hash結果分配，這樣每個訪客固定訪問一個後端服務器，可以解決Session的問題），或者將Session信息存儲在集群中。在大型的網站中，一般會有專門的Session服務器集群，用來保存用戶會話，這時可以使用緩存服務比如Memcached或者Redis之類的來存放Session。

目前大多數的應用都是用 Cookie 實現Session跟蹤的。第一次創建Session時，服務端會通過在HTTP協議中反饋到客戶端，需要在 Cookie 中記錄一個Session ID，以便今後每次請求時都可分辨你是誰。有人問，如果客戶端的瀏覽器禁用了 Cookie 怎麽辦？建議使用URL重寫技術進行會話跟蹤，即每次HTTP交互，URL後面都被附加上諸如 sid=xxxxx 的參數，以便服務端依此識別用戶。

換個姿勢~

客戶端和服務端之間的通信交流，可以這樣簡單理解：

比如當你在個推技術分享沙龍上覺得某位講師講得很好，在會後問了他幾個問題，他對你這些問題進行了回答，這就是一個會話。但這個講師太受歡迎，於是工作人員收集問題，並給每個提問者一個號碼牌，講師按照號碼牌依次給出相應解答並告訴相應的人。這就是Session。一段時間後，當你再次遇見這位講師，他發現你身上有上次回復你的答案，知曉你是那個好學的程序猿。於是你欣喜若狂，哇塞，講師居然認出我了，這就是Cookie，你的小甜點。客戶端好比聽課的技術愛好者，服務端就是這位講師。

Cookie還可以在一些方便用戶的場景下使用。比如你某次登陸過一個網站，下次登錄的時候不想再次輸入賬號了，怎麽辦？這個信息可以被寫到Cookie裏面，當訪問網站時，網站頁面的腳本可以讀取這個信息，自動填寫用戶名，方便用戶使用，給用戶一點甜頭。

總結語：

1、Cookie 在客戶端（瀏覽器），Session 在服務器端。

2、Cookie的安全性一般，他人可通過分析存放在本地的Cookie並進行Cookie欺騙。在安全性第一的前提下，選擇Session更優。重要交互信息比如權限等就要放在Session中，一般的信息記錄放Cookie就好了。

3、單個Cookie保存的數據不能超過4K，很多瀏覽器都限制一個站點最多保存20個Cookie。

4、Session 可以放在文件、數據庫或內存中，比如在使用Node時將Session保存在redis中。由於一定時間內它是保存在服務器上的，當訪問增多時，會較大地占用服務器的性能。考慮到減輕服務器性能方面，應當適時使用Cookie。

5、Session 的運行依賴Session ID，而 Session ID 是存在 Cookie 中的，也就是說，如果瀏覽器禁用了 Cookie，Session 也會失效（但是可以通過其它方式實現，比如在 url 中傳遞 Session ID）。