全部 商业 原创 业界 汽车 软件
全球即时:Session 和 Cookies 有什么区别?
2022-08-02 08:43:40 今日头条 A | A

大家好,我是前端西瓜哥。


【资料图】

很多初学者会分不清 Session 和 Cookies 的区别,今天西瓜哥我就带大家来掌握这两个概念。

登录网站的表象

你进入网站的登录页面,输入用户名和密码,点击 “登录” 按钮,然后你就登录成功了,然后就可以进行需要登录才能进行的操作,比如给西瓜哥的文章点赞。

之后,你再打开这个网站,就不用再输入用户名和密码了。

​其实是因为你使用了一个 “看不见” 的用户凭证,它被缓存在当前浏览器中,在它过期前你依旧是登录状态。

而当你打开另一个浏览器时,或者用另一台电脑打开时,你还是要走一遍登录流程,才能拿到用户凭证实现登录状态。

上面行为的底层到底发生了什么呢?​

Session

当用户将用户名和密码发给服务端后,服务端会从用户表中,验证用户名是否匹配密码。

user 用户表大概如下:

user_id user_name password--------------------------------------- 1 前端西瓜哥 kksk456 2 watermelon ou114514

如果用户名和密码正确,就会生成一个随机的 id 作为用户的凭证,存放到一个映射表里,并让这个随机 id 映射到对应的用户 id。

我们可以将它存到数据库中:

session_id user_id-----------------------kdj1231j 2

你也可以存到内存、redis 之类可以快速访问的存储介质中。

此外,session_id 在映射表中也不能有相同的值,否则会导致张三登录拿到了李四的号。

这样一个保存用户凭证(session_id)到用户 id 的映射存储,就是所谓的 Session 了。

Session 的意思是会话的意思,可以记录状态。就像两个人建立交谈后,在交谈的过程中我们知道双方彼此,但一旦结束对话,我们就形同陌路。

Cookies

session_id 创建好了,接下来就是要将这个 sesson_id 传给浏览器,让浏览器把它保存起来,并让浏览器在之后的每次请求中都带上这个 session_id,好让服务器识别用户。

但浏览器的请求是基于 HTTP 协议的,这种协议的一个特点是无状态。即在协议的实现上,无法知道对方是谁,任意两个请求都是独立的,它不知道一个请求的发起人是否为之前某个请求的发起人。这样的话,我们就难以实现维持登录状态。

为了解决这个问题,Cookies 出现了,它能够将服务端返回的一些信息保存下来,并在之后的请求中将其带上。

服务端会在 HTTP 响应头字段中带上 Set-Cookie 字段,会带上我们需要设置的键值对,以及其他信息(比如有效期),如下:

Set-Cookie: session_id=kdj1231j; Max-Age=10000000

浏览器接收到后,就会将其保存到浏览器中。之后的每次请求,浏览器都会在 HTTP 请求头中带上 session_id 信息:

Cookie: session_id=kdj1231j;

服务端会取出 session_id 去 session 映射表中去找。

如果存在,我们就取出其用户 id,基于这个用户 id 去获取一些私人信息,比如你的银行余额。

结尾

Session 是一个用户凭证(sesson_id)映射到用户id的一个映射表,用于通过用户凭证识别用户。

而 Cookies 则是 HTTP 协议中可以用来保存状态的惊喜小甜点,它能够将服务器返回的一些数据保存下来,在下一次请求中携带上。