session、cookie等相关基本概念-木庄网络博客

本文摘自网络，作者，侵删。

什么是session?什么是cookie？

session是解决HTTP协议无状态的问题的，是一种服务端解决方案，它能让服务端和客户端，一系列的交互动作变成一个完整的事务，能使这个网站变成真正意义上的面向客户端的一个web软件，session可以说是实现B/S架构软件的一个基础。

思考一个问题，既然HTTP是五状态的，那么服务器是怎么知道每个客户端是不同的呢？方法就是检查HTTP请求头，第一次收到请求的时候，检查有没有sessionId，如果没有会给它创建一个，如果有就取出来，当成身份的标识，现在浏览器也很配合，因为每次请求页面的时候，都会把这个服务器设的sessionId每次都给它带回服务器，服务器端以此区别每个页面来自哪个客户端的。

那么在服务器端session它存储到哪里去了呢？存在了内存里或者存在了硬盘上，或者存在了数据库里面都是可以的。在分布式的系统里面，要考虑session的共享，就不能简单的存储在一台服务器的机器的内存里面了。

当用户首次与Web服务器建立连接的时候，服务器会给用户分发一个sessionId作为客户端的标识，这个sessionId是由24个字符组成的一个随机字符串，用户后续每次向服务器请求页面，浏览器都会把sessionId包括在HTTP的头部信息当中，一并提交给Web服务器，web服务器拿到sessionId,再以sessionId在本地找到session对象，这样就能区分当前请求页面的是那个客户端了。

sessionId它是作为cookie保存在客户端浏览器内的，而session一般是保存在服务器端的，但是有些Web框架在实现的时候，为了简单起见，也将session加密也存在了客户端的浏览器里面，如果用户禁用了浏览器的cookie,服务器端就得不到sessionId了，这个时候我们可以使用UR参数的方式，来存储客户端的sessionId,也就是直接将sessionId直接写在URL的参数里边，这种方式不一定就不安全，要看整体的方案是怎样实现的。

sessionId具体是如何产生的？

sessionId是一个会话的key，浏览器第一次访问服务器的时候，会在服务器端参数一个session，有一个sessionId和它对应，关于这个session的产生，并不是自动产生的，但是它与语言基本上也是无关的，在不同的语言和web框架里面，实现的方法也不一样的，在Golang语言的Iris框架里和node.js的koa框架里都有人写好了相应的模块，可以完成这个功能，开发直接用就好了，以Java开发为例，它生成的sessionId叫做JssessionId，tomcat的ManagerBase类，提供了创建sessionId的方法。

实现session的共享与同步，有两个问题需要解决：
第一个问题：session的存储应该是独立于Web容器而存在的？
第二个问题：如何进行高效的session同步，尽量降低延迟？
最好的方案就是使用分布式缓存技术，例如Memcached或者Redis，将session信息的存储独立出来。

服务端在设置cookie到客户端时参数{httpOnly:false} 表示客户端可以用JS取得cookie，{httpOnly:true}相反

本文来自：简书

感谢作者：大龄前端

查看原文：session、cookie等相关基本概念