大家好,我是前端西瓜哥。
很多初学者会分不清 Session 和 Cookies 的区别,今天西瓜哥我就带大家来掌握这两个概念。
登录网站的表象
你进入网站的登录页面,输入用户名和密码,点击 “登录” 按钮,然后你就登录成功了,然后就可以进行需要登录才能进行的操作,比如给西瓜哥的文章点赞。
之后,你再打开这个网站,就不用再输入用户名和密码了。
其实是因为你使用了一个 “看不见” 的 用户凭证,它被缓存在当前浏览器中,在它过期前你依旧是登录状态。
而当你打开另一个浏览器时,或者用另一台电脑打开时,你还是要走一遍登录流程,才能拿到用户凭证实现登录状态。
上面行为的底层到底发生了什么呢?
Session
当用户将用户名和密码发给服务端后,服务端会从用户表中,验证用户名是否匹配密码。
user 用户表大概如下:
user_id user_name password--------------------------------------- 1 前端西瓜哥 kksk456 2 watermelon ou114514
如果用户名和密码正确,就会生成一个随机的 id 作为用户的凭证,存放到一个映射表里,并让这个随机 id 映射到对应的用户 id。
我们可以将它存到数据库中:
session_id user_id-----------------------kdj1231j 2
你也可以存到内存、redis 之类可以快速访问的存储介质中。
此外,session_id 在映射表中也不能有相同的值,否则会导致张三登录拿到了李四的号。
这样一个保存用户凭证(session_id)到用户 id 的映射存储,就是所谓的 Session 了。
Session 的意思是会话的意思,可以记录状态。就像两个人建立交谈后,在交谈的过程中我们知道双方彼此,但一旦结束对话,我们就形同陌路。
Cookies
session_id 创建好了,接下来就是要将这个 sesson_id 传给浏览器,让浏览器把它保存起来,并让浏览器在之后的每次请求中都带上这个 session_id,好让服务器识别用户。
但浏览器的请求是基于 HTTP 协议的,这种协议的一个特点是 无状态。即在协议的实现上,无法知道对方是谁,任意两个请求都是独立的,它不知道一个请求的发起人是否为之前某个请求的发起人。这样的话,我们就难以实现维持登录状态。
为了解决这个问题,Cookies 出现了,它能够将服务端返回的一些信息保存下来,并在之后的请求中将其带上。
服务端会在 HTTP 响应头字段中带上 Set-Cookie 字段,会带上我们需要设置的键值对,以及其他信息(比如有效期),如下:
Set-Cookie: session_id=kdj1231j; Max-Age=10000000
浏览器接收到后,就会将其保存到浏览器中。之后的每次请求,浏览器都会在 HTTP 请求头中带上 session_id 信息:
Cookie: session_id=kdj1231j;
服务端会取出 session_id 去 session 映射表中去找。
如果存在,我们就取出其用户 id,基于这个用户 id 去获取一些私人信息,比如你的银行余额。
结尾
Session 是一个 用户凭证(sesson_id) 映射到 用户id 的一个映射表,用于通过用户凭证识别用户。
而 Cookies 则是 HTTP 协议中可以用来保存状态的惊喜小甜点,它能够将服务器返回的一些数据保存下来,在下一次请求中携带上。