理解Cookie和Session

理解Cookie

Cookie的作用

用户通过Http协议服务器，服务器会将一些Key/Value对返回给客户端浏览器，用户下次访问时数据又被完整的带回服务器。具体可以利用Cookie来做如：

• 在客户端上保存用户数据，如用户名称、角色等等，起到简单的缓存作用；
• 保存用户的登陆状态，用户成功登陆后，服务器生成特定的cookie返回给客户端，客户端下次访问该域名下的任何页面，将cookie的信息发送给服务器来认证用户；

Cookie的属性

常见属性如：

• Expires 过期时间
• Domain 对应的域名
• Path 生成Cookie的路径
  可以通过name=value的方式来添加cookie属性，如添加用户名 username="zhansan"

弊端

• 浏览器对Cookie的大小和数量有一定限制
• 如果Cookie很多，客户端和服务端每次交互都得携带，增加了数据传输量
• Cookie的信息可以在浏览器F12直接查看、修改、添加，有一定的安全风险，所有在使用时敏感数据一定要加密。

理解Session

服务器通过指定的属性名称来获取Session，默认属性名称为SESSIONID, 浏览器不支持Cookie时，通过路径参数传递，支持的话会将其放到Cookie属性中。服务端获取到SessionId（客户端第一次访问服务器时生成，每个客户端是唯一的）后生成HttpSession对象，这个对象会被服务端缓存直到过期回收。

Session的作用

• 用Session将信息保存在服务端，避免了直接使用Cookie的信息暴露
• 客户端只需要一个SessionId, 减少了传输数据量

限制

• 分布一致性，使用Session会带来分布式问题，当有多台服务端时，需要保障Session一致，可以通过分布式Session框架来解决，确保session同步
• CSRF攻击，可以在session中添加token来防范