Session 和 Cookies 有什么区别？

大家好，我是前端西瓜哥。

很多初学者会分不清 Session 和 Cookies 的区别，今天西瓜哥我就带大家来掌握这两个概念。

登录网站的表象

你进入网站的登录页面，输入用户名和密码，点击 “登录” 按钮，然后你就登录成功了，然后就可以进行需要登录才能进行的操作，比如给西瓜哥的文章点赞。

之后，你再打开这个网站，就不用再输入用户名和密码了。

其实是因为你使用了一个 “看不见” 的 用户凭证，它被缓存在当前浏览器中，在它过期前你依旧是登录状态。

而当你打开另一个浏览器时，或者用另一台电脑打开时，你还是要走一遍登录流程，才能拿到用户凭证实现登录状态。

上面行为的底层到底发生了什么呢？

Session

当用户将用户名和密码发给服务端后，服务端会从用户表中，验证用户名是否匹配密码。

user 用户表大概如下：

user_id     user_name       password
---------------------------------------1          前端西瓜哥        kksk4562          watermelon      ou114514

如果用户名和密码正确，就会生成一个随机的 id 作为用户的凭证，存放到一个映射表里，并让这个随机 id 映射到对应的用户 id。

我们可以将它存到数据库中：

session_id     user_id
-----------------------
kdj1231j          2

你也可以存到内存、redis 之类可以快速访问的存储介质中。

此外，session_id 在映射表中也不能有相同的值，否则会导致张三登录拿到了李四的号。

这样一个保存用户凭证（session_id）到用户 id 的映射存储，就是所谓的 Session 了。

Session 的意思是会话的意思，可以记录状态。就像两个人建立交谈后，在交谈的过程中我们知道双方彼此，但一旦结束对话，我们就形同陌路。

Cookies

session_id 创建好了，接下来就是要将这个 sesson_id 传给浏览器，让浏览器把它保存起来，并让浏览器在之后的每次请求中都带上这个 session_id，好让服务器识别用户。

但浏览器的请求是基于 HTTP 协议的，这种协议的一个特点是 无状态。即在协议的实现上，无法知道对方是谁，任意两个请求都是独立的，它不知道一个请求的发起人是否为之前某个请求的发起人。这样的话，我们就难以实现维持登录状态。

为了解决这个问题，Cookies 出现了，它能够将服务端返回的一些信息保存下来，并在之后的请求中将其带上。

服务端会在 HTTP 响应头字段中带上 Set-Cookie 字段，会带上我们需要设置的键值对，以及其他信息（比如有效期），如下：

Set-Cookie: session_id=kdj1231j; Max-Age=10000000

浏览器接收到后，就会将其保存到浏览器中。之后的每次请求，浏览器都会在 HTTP 请求头中带上 session_id 信息：

Cookie: session_id=kdj1231j;

服务端会取出 session_id 去 session 映射表中去找。

如果存在，我们就取出其用户 id，基于这个用户 id 去获取一些私人信息，比如你的银行余额。

结尾

Session 是一个 用户凭证（sesson_id） 映射到 用户id 的一个映射表，用于通过用户凭证识别用户。

而 Cookies 则是 HTTP 协议中可以用来保存状态的惊喜小甜点，它能够将服务器返回的一些数据保存下来，在下一次请求中携带上。