概念理解

---

1. 无状态HTTP协议

协议是指两台计算机之间进行通信所必须共同遵守的规定或规则，HTTP（超文本传输协议）是一种通信协议，它允许将HTML（超文本标记语言）文档从WEB服务器传送到客户端浏览器。

HTTP协议是无状态协议，一旦数据交换完毕，客户端与服务器的连接就会关闭，再次交换数据需要建立新的连接，这就意味着服务器无法从连接上跟踪会话。

2. 会话跟踪

会话指用户登录网站后的一系列动作。比如：浏览商品添加到购物车并购买。

会话跟踪是WEB程序中常用的技术，用来跟踪用户的整个会话，常用的技术是：Cookie和Session。

Cookie通过客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

3. Session

session是一种记录客户状态的机制，session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是session。 客户端浏览器再次访问时只需要从该session中查找该客户的状态就可以了。

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含了sessionId：

1. 如果已包含，则说明以前已经为此客户端创建过session，服务器就按照sessionId把这个session检索出来使用（检索不到，会新建一个）

2. 如果客户端请求不包含sessionId，则为此客户端创建一个session并且生成一个与此session相关联的sessionId，sessionId的值是一个既不会重复，又不容易被找到规律以仿造的字符串，这个sessionId将被在本次响应中返回给客户端保存。

3. 如果客户端禁用了cookie，通常有两种方法实现session而不依赖cookie。

   <1>URL重写，将是把sessionId直接附加在URL路径后面。

   <2>表单隐藏字段，就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把sessionId传递回服务器。

4. Cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份

举例：
A用户买了一件商品放入购物车内，当再次购买商品时，服务器已经无法判断该购买行为是属于A用户的会话还是B用户的会话了，怎么办？

解决办法:

给客户端们颁发一个通行证，每人一个，无论谁访问都必须携带自己的通行证，这样服务器就能从通行证上确定客户身份了，这就是Cookie的工作原理。

cookie实际上是一小段的文本信息，客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个cookie，客户端浏览器会把cookie保存起来，当浏览器再次请求网站时，浏览器把请求的网址连同该cookie一同提交给服务器，服务器检查该cookie，以此来辨认用户状态，服务器还可以根据需要修改cookie的内容。

cookie分为两大类：

1. 会话cookie：不设置过期时间，浏览器关了，会话cookie就消失了，保存在内存中。
2. 持久化cookie：设置了过期时间，持久化存储在客户端硬盘中。

cookie具有不可跨域名性： 就是说，浏览器访问百度不会带上谷歌的cookie。

查看某个网站颁发的Cookie(需要连上网才行)：在浏览器地址栏输入：javascript:alert(document.cookie)

session与cookie的区别

---

1. session是存储在服务端的，客户端不知道其中的信息，cookie是存储在客户端的，服务端可以知道其中的信息，所以session的安全性要高于cookie。
2. session中保存的是对象，cookie中保存的是字符串。
3. session不能区分路径，同一个用户在访问一个网站期间，所有的session在任何一个地方都可以访问到；而cookie中如果设置了路径参数，那么同一个网站中不同路径下的cookie相互是访问不到的。
4. 我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
5. 因为session是存放在服务器里的，所以session里的东西不断增加会增加服务器的负担，我们会把一些重要的东西放在session里，不太重要的放在客户端cookie里。

session与cookie的联系

---

session是需要借助cookie才能正常工作的，如果客户端完全禁止cookie，session将失效。

相关问题整理

---

1. 什么东西可以让你每次请求都把sessionId自动带到服务器呢？

   答：是cookie，如果你想为用户建立一次会话，可以在用户授权成功时给他一个唯一的cookie。

   当一个用户提交了表单时，浏览器会将用户的sessionId自动附加在HTTP头信息中（浏览器自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给sessionId所对应的用户。

   试想如果没有sessionId，当有两个用户同时进行注册时，服务器怎么才能知道到底是哪个用户提交了表单呢。