理解session和cookie

　　Session 与 Cookie 的作用都是为了保持访问用户与后端服务器的交互状态。它们有各自的优点，也有各自的缺陷，然而具有讽刺意味的是它们的优点和它们的使用场景又是矛盾的。例如，使用 Cookie 来传递信息时，随着 Cookie 个数的增多和访问量的增加，它占用的网络带宽也很大，试想假如 Cookie 占用 200 个字节，如果一天的 PV 有几亿，它要占用多少带宽？所以有大访问量的时候希望用 Session，但是 Session 的致命弱点是不容易在多台服务器之间共享，所以这也限制了 Session 的使用。

　　理解 Cookie

　　Cookie 的作用我想大家都知道，通俗地说就是当一个用户通过 HTTP 协议访问一个服务器的时候，这个服务器会将一些 Key/Value 键值对返回给客户端浏览器，并给这些数据加上一些限制条件，在条件符合时这个用户下次访问这个服务器的时候，数据又被完整地带回给服务器。

　　这个作用就像您去超市购物时，第一次给您办张购物卡，这个购物卡里存放了一些您的个人信息，下次您再来这个连锁超市时，超市会识别您的购物卡，下次直接购物就好了。

　　当初 W3C 在设计 Cookie 时实际上考虑的是为了记录用户在一段时间内访问 Web 应用的行为路径。由于 HTTP 协议是一种无状态协议，当用户的一次访问请求结束后，后端服务器就无法知道下一次来访问的还是不是上次访问的用户，在设计应用程序时，我们很容易想到两次访问是同一人访问与不同的两个人访问对程序设计和性能来说有很大的不同。例如，在一个很短的时间内，如果与用户相关的数据被频繁访问，可以针对这个数据做缓存，这样可以大大提高数据的访问性能。Cookie 的作用正是在此，由于是同一个客户端发出的请求，每次发出的请求都会带有第一次访问时服务端设置的信息，这样服务端就可以根据 Cookie 值来划分访问的用户了。

　　案例：

　　cookie说的直白点就是保存在用户浏览器端的一个键值对，举个例子，你现在登录了京东商城，你把浏览器关闭之后，你再打开京东，你还是可以对你的账户继续操作，已经购买的商品，订单都是可以看到的，这个就是cookie起了作用。那为什么你再次打开的时候，就直接是已经登录状态了，京东的服务端是怎么知道你已经登录的哪，其实就是cookie起了作用，就是你在登录的时候京东对你的浏览器设置了cookie，你登录的时候它把你的账号密码写到了你浏览器的cookie里面，你下次打开京东的时候，它就默认把你浏览器里面的cookie，也就是你的账号密码发送到了京东的服务端，这样的话，京东就知道你已经登录，所以你再打开jd的时候就是已经登录的状态了，很多网站上面的记住我、30天不需要登录就是用的cookie，前面也说了cookie是存在本地的，如果你清理了浏览器的cookie，那么cookie就没有了，你就是未登录的状态了。

为什么要用Cookie？

 在HTTP请求中，每个HTTP请求都是独立，没有办法做上下文关联，但是在真正的应用中，很多场景是需要用到这种关联的。最经典也是最常见到使用Cookie的就是登录操作，登录成功后，我们可以在同一浏览器下的不同Tab页面都能访问我们需要登录才可以看到的页面。这就是通过Cookie来实现的。否则每开一个Tab页面登录一次淘宝，估计你也就不想购物了。

所谓的Cookie到底是什么？

从本质上来说，Cookie我们可以理解为，它就是一个存在硬盘的字符串，Cookie可以做很多操作，以登录为例的话，它实际就是存在硬盘中的账号密码，多数会以一种加密的方式存储。 

不同浏览器时Cookie是共用的么？

假设电脑上有三种浏览器，谷歌、欧朋、火狐，如果谷歌上打开淘宝并且登录，那么火狐浏览器打开淘宝时一定还是需要登录，其实认真想下就能够想通了，Cookie是存在硬盘中的一个字符串，那么谷歌和火狐浏览器分别安装在不同的目录下，它们存储Cookie的地址一定是不同，所以不同浏览器之间是不可以共用Cookie的。

　　理解 Session

　　前面已经介绍了 Cookie 可以让服务端程序跟踪每个客户端的访问，但是每次客户端的访问都必须传回这些 Cookie，如果 Cookie 很多，这无形地增加了客户端与服务端的数据传输量，而 Session 的出现正是为了解决这个问题。

　　同一个客户端每次和服务端交互时，不需要每次都传回所有的 Cookie 值，而是只要传回一个 ID，这个 ID 是客户端第一次访问服务器的时候生成的，而且每个客户端是唯一的。这样每个客户端就有了一个唯一的 ID，客户端只要传回这个 ID 就行了，这个 ID 通常是 NANE 为 JSESIONID 的一个 Cookie。

上面说了cookie，提到cookie肯定不能少了session，什么是session呢，说直白点，就是保存在服务端的一个键值对。举个例子，还是京东，登录的时候已经把账号密码写到cookie里面了，咱们再去打开京东页面的时候，浏览器会自动把京东这个网站下面的cookie发给京东的服务端，也就是cookie里面存的东西，账号密码发到京东的服务端了，那发过去了，京东的服务端肯定是要验证一下，你发的账号密码对不对，要不然你知道谁的账号了，你随便伪造一个cookie发给京东那就直接能操作别人的账号了，那就不安全了。那怎么办呢，服务端就也保存一个键值对不就行了，那你把cookie发过来的时候，和我这保存的这个键值对一样不就ok了，这个就是session，其实就是保存在服务端的一个键值对。

    有的人可能会问了，那你的账号密码肯定都是存在数据库里面的，完全不用session啊，cookie发过来的时候，我直接从数据库里面查到这个用户的账号密码做比较就好了，这样当然是可以的，但是我想说你太年轻了，你想如果打开一个网站，里面很多页面都是要验证一下你的登录状态的，那你每次验证登录状态都要去操作数据库，我们都知道计算机在处理数据的时候，都是先从硬盘上取数据然后放到内存里面，内存再给cpu，cpu来进行处理（看下面的图），CPU的处理速度是很快的，就像火箭一样，内存的存取的速度就像高铁的速度一样，而硬盘的读取速度就像普通的汽车一样，而数据库里面的数据都是存在硬盘上的，每次去校验一下账号密码从数据库里面取数据，那效率就很低了。一般session都是存在缓存里面，因为要经常用到，要提升性能，直接把seesion放到内存里面，这样子的话，查的时候直接在内存里面取数据了，就很快了，像一些缓存数据库，redis、memcached这些都是把数据直接存到内存里面的。

为什么要用Session？

在知道Cookie是存在硬盘中的字符串后，如果将存在硬盘中的Cookie盗取，存在登录信息被破解的风险，所以通过Session来避免信息被盗取的风险。

什么是Session？

可以将Session简单的理解为一个对象，这个对象中可以包含很多东西，具体想包含什么是可以由开发人员自定义的。存在服务器中的是一个key，value形式的对象。

　　Session 与 Cookie

　　虽然 Cookie 和 Session 都可以跟踪客户端的访问记录，但是它们的工作方式显然是不同的：

       Cookie 通过把所有要保存的数据通过 HTTP 协议的头部从客户端传递到服务端，又从服务端再传回到客户端，所有的数据都存储在客户端的浏览器里，所以这些 Cookie 数据可以被访问到，就像我们前面通过 Firefox 的插件 HttpFox 可以看到所有的 Cookie 值。不仅可以查看 Cookie，甚至可以通过 Firecookie 插件添加、修改 Cookie，所以 Cookie 的安全性受到了很大的挑战。

　　相比较而言 Session 的安全性要高很多，因为 Session 是将数据保存在服务端，只是通过 Cookie 传递一个 SessionID 而已，所以 Session 更适合存储用户隐私和重要的数据

Cookie与Session有什么联系？

在WEB应用中，Cookie是可以独立使用的，但是Session必须依赖于Cookie使用，每创建一个Session对象时，都会生成一个唯一的Session_id，它通过Cookie的形式存在浏览器的内存中，随着浏览器关闭则消失，从而保证不留存在硬盘中。

Session的原理是什么？

登录成功后，通过Cookie的形式在浏览器内存中存入一个唯一的Session_id，每一次请求时，都会携带带有Session_id的Cookie信息传到服务器，以Session_id为Key得到唯一的Value信息，则代表发送过来的请求为有效请求。否则为无效请求。