Cookies 与 Session 核心知识点

原创已于 2025-10-23 16:45:01 修改 · 683 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #运维

于 2025-10-23 16:32:41 首次发布

在 Web 开发中，Cookies 和 Session 是实现 “状态管理” 的核心技术 —— 它们解决了 HTTP 协议 “无状态” 的问题（即服务器无法记住多次请求是否来自同一用户）。以下是系统梳理：

一、本质区别：存储位置与安全特性

特性	Cookies	Session
存储位置	客户端（浏览器本地文件或内存）	服务器端（内存、数据库、Redis 等）
数据大小	限制较大（通常 4KB 以内）	理论无限制（取决于服务器存储能力）
安全性	较低（明文存储，易被篡改或窃取）	较高（数据在服务器，客户端只存 SessionID）
生命周期	可设置过期时间（默认关闭浏览器后失效）	通常依赖 Cookies 中的 SessionID 过期时间
访问方式	客户端（JS 可读写）和服务器端均可访问	仅服务器端可访问

二、Cookies：客户端的 “小纸条”

1. 核心作用

存储用户身份标识（如登录状态、用户 ID）。
记录用户偏好（如主题设置、语言选择）。
实现购物车、浏览历史等轻量数据存储。

2. 工作流程

服务器通过 HTTP 响应头 Set-Cookie 向客户端发送 Cookies：

// 响应头示例
Set-Cookie: userId=123; expires=Fri, 31-Dec-2025 23:59:59 GMT; path=/; domain=example.com; secure; HttpOnly

客户端（浏览器）自动保存 Cookies，并在后续请求中通过 Cookie 请求头发送给服务器：
```
// 请求头示例
Cookie: userId=123; theme=dark
```

3. 关键属性（安全性控制）

expires/max-age：设置过期时间（expires 是具体日期，max-age 是秒数，不设置则为 “会话级 Cookie”，关闭浏览器失效）。
path=/：限制 Cookie 仅在指定路径下生效（/ 表示全站）。
domain=example.com：限制 Cookie 仅在指定域名下生效（防止跨域访问）。
secure：仅在 HTTPS 协议下传输（避免明文泄露）。
HttpOnly：禁止客户端 JS 通过 document.cookie 访问（防止 XSS 攻击窃取 Cookie）。
SameSite=Strict/Lax：限制跨站请求携带 Cookie（防止 CSRF 攻击）。

4. 实战操作

（1）服务器端设置（以 Node.js 为例）

const http = require('http');
http.createServer((req, res) => {
  // 设置一个 7 天过期的用户 ID Cookie
  res.setHeader('Set-Cookie', [
    'userId=123; max-age=604800; path=/; HttpOnly; SameSite=Lax'
  ]);
  res.end('Cookie 设置成功');
}).listen(3000);

（2）客户端 JS 操作（仅非 HttpOnly 的 Cookie）

// 读取所有非 HttpOnly 的 Cookie
console.log(document.cookie); // "theme=dark; lang=zh-CN"

// 设置 Cookie（注意：无法设置 HttpOnly、secure 等属性）
document.cookie = "theme=light; max-age=3600; path=/";

// 删除 Cookie（设置 max-age=0 或过期时间为过去）
document.cookie = "theme=; max-age=0; path=/";

三、Session：服务器端的 “用户档案”

1. 核心作用

存储用户敏感信息（如登录凭证、权限角色、临时会话数据）。
避免在客户端存储敏感数据，提升安全性。

2. 工作流程

用户首次访问服务器时，服务器创建一个 Session（生成唯一 SessionID），并存储用户数据（如 { userId: 123, isLogin: true }）。
服务器将 SessionID 通过 Cookie 发送给客户端（通常 Cookie 名为 connect.sid 或 PHPSESSID 等）。
后续请求中，客户端携带 SessionID Cookie，服务器通过 SessionID 找到对应的 Session 数据，识别用户身份。

3. 存储方式（服务器端）

内存存储：适合开发环境（重启服务器后 Session 丢失）。
数据库存储：如 MySQL（持久化，但性能一般）。
缓存存储：如 Redis（高性能，支持过期自动清理，推荐生产环境）。

4. 实战操作（以 Express + Express-Session 为例）

const express = require('express');
const session = require('express-session');
const app = express();

// 配置 Session（使用内存存储，生产环境建议换 Redis）
app.use(session({
  secret: 'your-secret-key', // 加密 SessionID 的密钥（必填）
  resave: false, // 未修改时不重新保存
  saveUninitialized: true, // 对未初始化的 Session 也保存
  cookie: { 
    maxAge: 60 * 60 * 1000, // Session 有效期 1 小时（通过 Cookie 过期时间控制）
    httpOnly: true, // 禁止客户端 JS 访问
    secure: false, // 开发环境关闭（生产环境 HTTPS 下开启）
    sameSite: 'lax'
  }
}));

// 登录接口：创建 Session
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  // 假设验证通过
  req.session.user = { id: 123, username: '张三' }; // 存储用户数据到 Session
  res.send('登录成功');
});

// 个人中心接口：读取 Session
app.get('/profile', (req, res) => {
  if (req.session.user) { // 检查 Session 是否存在
    res.send(`欢迎 ${req.session.user.username}`);
  } else {
    res.send('请先登录');
  }
});

// 退出登录：销毁 Session
app.get('/logout', (req, res) => {
  req.session.destroy(); // 清除服务器端 Session
  res.send('退出成功');
});

app.listen(3000);

四、典型应用场景对比

场景	适合用 Cookies	适合用 Session
记住登录状态（7 天免登）	✅ 存储 `userId` + 过期时间	❌ 依赖 SessionID Cookie，本质一样
存储用户权限（角色）	❌ 敏感信息，易被篡改	✅ 服务器端存储，安全
购物车临时数据	✅ 轻量数据（商品 ID + 数量）	❌ 数据量大时服务器压力大
防 CSRF 令牌	✅ 存储令牌，客户端请求时携带	❌ 需从服务器获取，不如直接存 Cookie
多端登录状态同步	❌ 不同设备 Cookie 独立	✅ 服务器端统一管理，可强制下线

五、安全最佳实践

Cookies 安全：
- 敏感信息（如登录凭证）必须加 HttpOnly 和 secure 属性。
- 用 SameSite=Strict 防止跨站请求伪造（CSRF）。
- 避免存储明文数据，重要信息需加密（如用户 ID 加密后存储）。
Session 安全：
- SessionID 必须足够随机（避免被猜测）。
- 生产环境用 Redis 等分布式存储，支持集群部署。
- 定期刷新 SessionID（如登录后更新，防止固定会话攻击）。
通用原则：
- 减少 Cookie 大小（避免影响请求性能）。
- 敏感操作（如支付）需二次验证，不依赖单一 Cookie/Session。

总结

Cookies 和 Session 是互补技术：Cookies 负责在客户端存储 “钥匙”（SessionID），Session 负责在服务器端存储 “用户数据”。实际开发中，需根据数据敏感性、大小和场景选择合适的存储方式，同时重视安全配置（如 HttpOnly、secure、SameSite 等），避免出现身份伪造、数据泄露等风险。