为什么我们要讨论 Session 和 Cookie?
想象一下,我们日常使用的具有"会员登录"或者"网上购物"功能的网站,服务器需要识别这些不同的请求是否来自同一个客户端。但是在 HTTP 设计中,每个请求都是相互独立的,即使是同一个用户连续操作浏览器发送多个请求,前一个请求也不会认识后一个请求。因此,开发者需要利用 Session 和 Cookie 机制来帮助服务器识别特定的客户端。
餐馆和顾客
在讨论技术内容之前,我们先来聊聊你附近的餐馆。餐馆和消费者的关系就像 Session 和 Cookie 一样。你每次去餐馆消费都是独立的事件,交易完成后,老板通常不会记得你上次点了什么。但是,假设你是老板,你希望记住每位客户的购买记录,让他们一进门,你就能知道他们的喜好,你会怎么做呢?答案就是会员卡!
通过每一张独一无二的会员卡,用会员编号绑定每一位消费者,当客户上门时,只需要出示卡片,你就能从客户管理系统中调出该会员过往所有的消费记录。而这个"会员编号",就相当于网络世界中的session id。
什么是 Session
Session就像是你的会员编号,当你需要追踪同一个用户通过浏览器发出的一系列请求时,可以通过创建一组凭证来记录设备间的交互过程,这种机制称为Session。就像餐饮店通过会员编号查找顾客的历史购买信息一样,服务器也会通过 session id查找到对应的用户数据。
什么是 Cookie
Cookie 就像是你手中的会员卡,卡片上有客户的专属会员编号,也就是 session id。Cookie 是浏览器内置的功能,通过这个功能,浏览器让服务器能够把 session 的信息(包括 session id)保存在浏览器的 Cookie 上。当浏览器每次向服务器发送请求时,都会附带一组 Cookie 信息,因此,服务器就能通过 Cookie 中的 session id 追踪到浏览器那头的用户是谁。
Session 与 Cookie 如何运作?
我们通过用户登录的案例来进一步讨论这两者是如何运作的。开发者会使用 session 与 cookie 来实现用户认证系统。无论是登录微博还是淘宝,即便关闭了窗口又重新回到这些网站,我们通常不需要重新登录,但如果换了一台电脑,或者使用"无痕模式"操作,就必须重新登录。
我们把登录这个动作拆分成"如何登录"和"登录后发生了什么"来讨论。
用户如何登录?
以淘宝为例,当我们在登录页面输入用户名或电话号码时,你所输入的数据就会被传送到淘宝的服务器,验证此账号是否存在。如果账号通过验证,下一步你需要输入账号密码进行登录,然后服务器会验证你输入的数据是否与用户数据库的内容一致。最后,如果判定结果为用户数据一致的话,你就能成功登录了!
登录后浏览器与服务器如何交互?
在你成功登录的时候,也就是浏览器对服务器发送第一次请求时,服务器端会建立一个 session,并在你的浏览器 cookie 里存储一个 session id 变量。以后服务器通过这个 session id 就知道你曾经成功登录过,而之后浏览时就能通过 cookie 里的 session id 直接对应服务器上的 session 数据,直接寻找有关你的数据,后续就不需要你重新登录了。
Session 会失效吗?
你可能会想,如果我把浏览器关掉,session 是不是就会失效了。或者说,有时候明明也没有退出登录,但系统又要求我再次登录,这究竟是怎么一回事?
如果用"会员卡"的比喻来解释,"关掉浏览器"就像把会员卡放回钱包里一样,会员记录还是会在。因此,要取消 session,一般来说有三个方法:
-
用户在浏览器主动删除 cookie 数据。
-
用户从网站上主动退出登录,退出登录时应用程序会同步删掉浏览器刚刚使用的 session id,这就好比餐馆的客户主动打电话给老板,要求删除他的用户账号。
-
应用程序设置了一个失效时间 如果客户端上次使用 session 的时间,超过系统预设的失效时间时,服务器就假定客户端已经停止活动,然后把原先的 session id 删除,就好比有效的会员期限,假设你在半年内没有消费记录,则会自动取消会员资格。
结语
通过本次的学习分享,我们不仅对于 Cookie 与 Session 有了更进一步的认识,也知道它们如何帮助开发者完成用户认证系统。特别是这些过程都是生活中不会留意到的小细节,也充满了许多的学问,我相信这就是网络世界有趣的地方吧。