代码写累了，cookie了解一下？

一、什么是cookie? 什么是session

        Cookie和Session是为了在无状态的HTTP协议之上维护会话状态,因为HTTP协议是无状态的，即每次用户请求到达服务器时，HTTP服务器并不知道这个用户是谁、是否登录过等。现在的服务器之所以知道我们是否已经登录，是因为服务器在登录时设置了浏览器的Cookie！Session则是借由Cookie而实现的更高层的服务器与浏览器之间的会话。

二、cookie的实现机制

cookie是客户端保存的文本文件，内容是一些列的键值对，Cookie是由http服务器设置的，保存在浏览器中。

cookie的传递流程

    1.浏览器用户登录，服务器验证用户名密码，成功后在相应头中set-Cookie字段标记身份

    2.浏览器存储response中的set-Cookie在内存中或者硬盘中

    3.浏览器再次向改服务器发送请求的时候后，会自动在请求头中加上cookie信息用来表示身份

    4.服务器通过cookie得知之前和这个用户打过交道，并验证过身份，给他对应的数据

三、 cookie的安全隐患及防篡改机制

    安全隐患：

    cookie是明文传输的，且能发送http请求的不只有浏览器，很多http客户端软件（postman，nodejs）都可以发送任意的http请求，可以设置任何请求头字段，所以，可以构造任何想要的http请求。构造的请求并不是真正用户发出的请求，但是服务器不知道，会被欺骗。这种攻击非常容易。

     防篡改：

       1.服务器在设置cookie的时候，可以为每个cookie生成签名，用户篡改cookie后，无法生成对应的签名，服务器在校验cookie时就能得知cookie被篡改过了。

        2.服务器生成带签名的cookie 。Set-Cookie: authed=false|6hTiBl7lVpd1P.设置的签名6hTiBl7lVpd1P 是这样生成的 hash('服务器端配置的一个不为人知的字符串' + 要设置的值)。即要设置的值与密码字符串相加后再hash

        3.经过上上面两步，别人确实没法串改cookie.但是！！！cookie是明文传递的，只要请求一次后，就能用这个带有签名的cookie来欺骗服务器了。所以cookie的安全问题还并没结束。 因此，后端在设置cookie的时候，最好不要将敏感数据放在cookie中，一般来讲cookie只会放session Id.而session 存在服务器中的

四、 Sesion的实现机制

    基于三的分析，cookie中不能存放敏感的数据，只存session id 而将敏感数据存放在sesion中，就避免了在客户端cookie中存放敏感数据。Session 可以存储在HTTP服务器的内存中，也可以存在内存数据库（如redis）中， 对于重量级的应用甚至可以存储在数据库中。

     我们以存储在redis中的Session为例，还是考察如何验证用户登录状态的问题。

        1.用户提交包含用户名和密码的表单，发送HTTP请求。

        2.服务器验证用户发来的用户名密码。

        3.如果正确则把当前用户名（通常是用户对象）存储到redis中，并生成它在redis中的ID。

            这个ID称为Session ID，通过Session ID可以从Redis中取出对应的用户对象， 敏感数据（比如authed=true）都存储在这个用户对象中。

        4.设置Cookie为sessionId=xxxxxx|checksum并发送HTTP响应， 仍然为每一项Cookie都设置签名。

        5.用户收到HTTP响应后，便看不到任何敏感数据了。在此后的请求中发送该Cookie给服务器。

        6.服务器收到此后的HTTP请求后，发现Cookie中有SessionID，进行放篡改验证。

            如果通过了验证，根据该ID从Redis中取出对应的用户对象， 查看该对象的状态并继续执行业务逻辑。

Web应用框架都会实现上述过程，在Web应用中可以直接获得当前用户。 相当于在HTTP协议之上，通过Cookie实现了持久的会话。这个会话便称为Session。

文档参考： https://harttle.land/2015/08/10/cookie-session.html