cookie 和 session 的区别

以我自己做的个人博客来说明两者的区别,由于 HTTP 协议是无状态的协议(也就是服务端不能仅仅通过 http 请求本身来判断是哪一个用户),所以就需要一种机制来判断当前是哪一个用户登录了博客。

我在博客项目中是这样实现的:

在用户第一次请求我的网站的时候,我会在响应头中通过设置 set-cookie 给客户端的 cookie 中加一个 sessionId.

res.setHeader('Set-Cookie', `sessionid=${sessionId}; path=/; htppOnly; expires=${getCookieExpires()}`);

当用户再次请求我的网站的时候,携带的 cookie 中就会有 sessionId,当用户登录成功后在 session(后端程序中的一个对象)的 sessionId 属性中设置一个 username,然后根据这个 username 来判断当前用户是谁,是否处于登录状态。

所以,总结一下:

session 是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在数据库,文件中,在博客项目中将 session 保存在了 redis 中。

cookie 是客户端保存信息的一种方式,它是一个字符串,主要是用来做前后端通信的。

几个问题:

1)为什么使用 cookie 中的 userId,而不是直接根据用户的请求就创建一个 session?

实现起来不方便,后端如果判断是不是一个用户在发送请求呢?难道一个用户每次发出一个请求之后都创建一个 session 吗?或许可以通过在登录的时候通过获取到用户名,然后将其写入到 session 中,但是下一次请求如何知道是这个用户呢?一个可行的方案是在每次请求的 url 中都加一个 username 的参数,可是这样既不安全也比较麻烦。

所以借助 cookie 来配合 session 是现在比较常见的方案。

2)直接在 cookie 中存放用户名不可以吗?

可以,但是不安全,如果 cookie 被窃取了,那么用户名就被别人知道了,用户名有可能就是你的电话号码,你可能并不想让别人知道。而 session 是存在后端的,别人是获取不到的。

你可能感兴趣的:(cookie 和 session 的区别)