💐个人主页：初晴~

📚相关专栏：计算机网络那些事

---

一、Cookie是什么？

Cookie的存在主要是为了解决HTTP协议的无状态性问题，即协议本身无法记住用户之前的操作。

• "⽆状态" 的含义指的是:

默认情况下 HTTP 协议的客⼾端和服务器之间的这次通信，和下次通信之间没有直接的联系

例如登陆⽹站成功后, 第⼆次访问的时候服务器就能知道该请求是否是已经登陆过了

⽐如去医院挂号

1. 看病之前先挂号. 挂号时候需要提供⾝份证号, 同时得到了⼀张 "就诊卡", 这个就诊卡就相当于患者的 "令牌".

2. 后续去各个科室进⾏检查, 诊断, 开药等操作, 都不必再出⽰⾝份证了, 只要凭就诊卡即可识别出当前患者的⾝份.

3. 看完病了之后, 不想要就诊卡了, 就可以注销这个卡. 此时患者的⾝份和就诊卡的关联就销毁了. (类似于⽹站的注销操作)

4. ⼜来看病, 可以办⼀张新的就诊卡, 此时就得到了⼀个新的 "令牌"

二、Session是什么？

Session（会话）是Web开发中用于管理用户状态的一种机制。它允许服务器在多个页面请求或多个浏览器会话之间保持用户的状态信息。

所谓的会话，其实就可以理解为 “对话”

⽐如我们打客服电话

每次打客服电话，是⼀个会话. 挂断电话，会话就结束了

下次再打客服电话，⼜是⼀个新的会话

如果我们⻓时间不说话，没有新的请求，会话也会结束

• Session是服务器为了保存⽤⼾信息⽽创建的⼀个特殊的对象

1. 当⽤⼾登陆的时候，服务器在 Session 中新增⼀个新记录，并把 sessionId返回给客⼾端 (通过 HTTP 响应中的 Set-Cookie 字段返回)

2. 客⼾端后续再给服务器发送请求的时候，需要在请求中带上 sessionId。(通过 HTTP 请求中的 Cookie 字段带上)

3. 服务器收到请求之后，根据请求中的 sessionId在 Session 信息中获取到对应的⽤⼾信息， 再进⾏后续操作。找不到则重新创建Session，并把SessionID返回

三、Cookie 与 Session 的区别

1、存储位置：

• Cookie：存储在客户端（用户的浏览器）中，通常以键值对的形式存在。
• Session：存储在服务器端，客户端通常只存储一个Session ID，用于标识对应的服务器端Session。

2、存储大小和数量限制：

• Cookie：每个Cookie的大小一般限制在4KB左右，每个域名下可以存储的Cookie数量有限（大约20个）。
• Session：理论上没有严格的大小限制，但受到服务器存储空间的限制。Session可以存储更多的数据。

3、生命周期：

• Cookie：可以设置过期时间，浏览器会在过期后删除Cookie，或者用户可以手动清除。
• Session：依赖于服务器的配置，通常在用户关闭浏览器或Session超时后结束。

4、安全性：

• Cookie：由于存储在客户端，更容易受到跨站脚本攻击（XSS）和跨站请求伪造（CSRF）等攻击，安全性较低。
• Session：由于存储在服务器端，不易被篡改，相对更安全。但是，Session ID的传输需要安全保护，以防止Session劫持。

5、使用场景：

• Cookie：适用于存储不太敏感的数据，如用户偏好设置、会话标识符等。
• Session：适用于存储敏感数据，如用户的登录状态、购物车内容等。

6、传输：

• Cookie：每次HTTP请求都会自动包含在请求头中发送给服务器，增加了HTTP请求的大小。
• Session：只有Session ID在客户端和服务器之间传递，实际的Session数据存储在服务器端，减少了网络传输。

7、控制权：

• Cookie：由客户端浏览器控制，用户可以禁用Cookie或手动删除。
• Session：由服务器控制，服务器可以创建、修改和删除Session。

8、跨域访问：

• Cookie：可以设置为跨域访问，允许多个相关联的域名访问相同的Cookie。
• Session：通常局限于创建它的域名，除非通过特定的机制（如Session联邦）来实现跨域Session共享。

注意：

Cookie 和 Session 经常会在⼀起配合使⽤，但是不是必须配合：

• 完全可以⽤ Cookie 来保存⼀些数据在客⼾端。这些数据不⼀定是⽤⼾⾝份信息，也不⼀定是 SessionId
• Session 中的sessionId 也不需要⾮得通过 Cookie/Set-Cookie 传递，⽐如通过URL传递

---

那么本篇文章就到此为止了，如果觉得这篇文章对你有帮助的话，可以点一下关注和点赞来支持作者哦。如果有什么讲的不对的地方欢迎在评论区指出，希望能够和你们一起进步✊