网络编程 -- Cookie Session Token -- 概念

一、会话跟踪

1.什么是回话跟踪？
会话跟踪是Web程序中常用的技术，用来跟踪用户的整个会话，在程序中，会话跟踪是很重要的事情。理论上，一个用户的所有请求操作都应该属于同一个会话，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品，不论在什么时间购买的，都应该放在A的购物车内，这属于同一个会话，而用户A购买的商品不能放入用户B的购物车内，这不属于同一个会话。

2.为什么要会话跟踪？
Web程序是使用HTTP协议传输数据的，HTTP协议是无状态的协议，一旦数据交换完毕，客户端与服务器的连接就会关闭，当再次交换数据时需要建立新的连接，这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。

3.会话跟踪有哪些技术？
常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器记录信息确定用户身份。

二、Cookie

Cookie技术是客户端的解决方案。
当用户使用浏览器访问一个支持Cookie的网站的时候，用户会提供包括用户名在内的个人信息并且提交至服务器，服务器在向客户端回传相应的超文本的同时也会发回这些个人信息，这些信息是存放于HTTP响应头，当浏览器接收到来自服务器的响应之后，浏览器会将这些信息保存起来，当浏览器再次向服务器发送请求的时候，会把相应的Cookie发回服务器，Cookie信息是存放于HTTP请求头，服务器在接收到来自浏览器的请求后，就能够通过分析存放于请求头的Cookie得到客户端特有的信息，从而动态生成与该客户端相对应的内容。通常，我们可以从很多网站的登录界面中看到“请记住我”这样的选项，如果勾选之后再登录，那么在下一次访问该网站的时候就不需要进行重复而繁琐的登录动作了，这个功能就是通过Cookie实现的。
Cookie功能需要客户端以及服务器的支持。

三、Session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端中，而Session保存在服务器上。当客户端访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是Session，当客户端再次访问服务器时，服务器只需要从该Session中查找该客户的状态就可以了。虽然Session保存在服务器，对客户端是透明的，但是它的正常运行仍然需要客户端的支持，这是因为Session需要使用Cookie作为识别标志，由于HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一用户，因此服务器向客户端发送一个名为JSESSIONID的Cookie，它的值为该Session的id，Session依据该Cookie来识别是否为同一用户。如果客户端将Cookie功能禁用或者不支持Cookie(绝大多数的手机浏览器都不支持Cookie)，那么需要采用另一种解决方案：URL地址重写。URL地址重写的原理是将该用户Session的id信息重写到URL地址中，服务器能够解析重写后的URL获取Session的id，这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。

四、Token

Token是一种身份验证的机制，初始时用户提交账号数据给服务器，服务器采用一定的策略生成一个Token字符串，Token字符串中包含了少量的用户信息，并且有一定的期限，服务端会把Token字符串传给客户端，客户端保存Token字符串，并在接下来的请求中带上这个字符串。
工作流程图：

工作流程图

Token适用于RESTful API。