对于Cookie和Session的认识

一、Cookie

1.1概念

Cookie 是一种在客户端存储数据的技术，它是由服务器发送给客户端的小型文本文件，存储在客户端的浏览器中,大小限制大致在 4KB 左右。在客户端发送请求时，浏览器会自动将相应的 Cookie 信息发送给服务器，服务器通过读取 Cookie 信息，就可以判断该请求来自哪个客户端。

1.2存储数据的特点

1、cookie 有存储大小限制，4KB 左右。

2、浏览器每次请求会携带 cookie 在请求头中。

3、字符编码为 Unicode，不支持直接存储中文。

4、数据可以被轻易查看。

1.3使用流程

1. 客户端发送请求到服务端（比如登录请求）。

2. 服务端收到请求后生成一个 session 会话。

3. 服务端响应客户端，并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId，它的格式如下：Set-Cookie: value; expires=date; path=path。其中 sessionId 就是用来标识客户端的，类似于去饭店里面，服务员给你一个号牌，后续上菜通过这个号牌来判断上菜到哪里。

4. 客户端收到该请求后，如果服务器给了 Set-Cookie，那么下次浏览器就会在请求头中自动携带 cookie。

5. 客户端发送其它请求，自动携带了 cookie，cookie 中携带有用户信息等。

6. 服务端接收到请求，验证 cookie 信息，比如通过 sessionId 来判断是否存在会话，存在则正常响应。

二、Session

2.1概念

session 由服务端创建，当一个请求发送到服务端时，服务器会检索该请求里面有没有包含 sessionId 标识，如果包含了 sessionId，则代表服务端已经和客户端创建过 session，然后就通过这个 sessionId 去查找真正的 session，如果没找到，则为客户端创建一个新的 session，并生成一个新的 sessionId 与 session 对应，然后在响应的时候将 sessionId 给客户端，通常是存储在 cookie 中。如果在请求中找到了真正的 session，验证通过，正常处理该请求。

每一个客户端与服务端连接，服务端都会为该客户端创建一个 session，并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端，客户端将 sessionId 存到 cookie 中。

三、Cookie和Session的区别

cookie 和 session，它们两者之间主要是通过 sessionId 关联起来的，所以总结出：sessionId 是 cookie 和 session 之间的桥梁。

session 是基于 cookie 实现的，它们两个主要有以下特点：

1. session 比 cookie 更加安全，因为它是存在服务端的，cookie 是存在客户端的。

2. cookie 只支持存储字符串数据，session 可以存储任意数据。

3. cookie 的有效期可以设置较长时间，session 有效期都比较短。

4. session 存储空间很大，cookie 有限制。