如果客戶端禁止 cookie 能實(shí)現(xiàn) session 還能用嗎？

　　一般默認(rèn)情況下，在會(huì)話中，服務(wù)器存儲(chǔ) session 的 sessionid 是通過(guò) cookie 存在瀏覽器里的。

　　如果瀏覽器禁用了 cookie，瀏覽器請(qǐng)求服務(wù)器無(wú)法攜帶 sessionid，服務(wù)器無(wú)法識(shí)別請(qǐng)求中的用戶身份，session失效。

　　但可以通過(guò)其他方法在禁用 cookie 的情況下，可以繼續(xù)使用session。

　　通過(guò)url重寫，把 sessionid 作為參數(shù)追加的原 url 中，后續(xù)的瀏覽器與服務(wù)器交互中攜帶 sessionid 參數(shù)。

　　服務(wù)器的返回?cái)?shù)據(jù)中包含 sessionid，瀏覽器發(fā)送請(qǐng)求時(shí)，攜帶 sessionid 參數(shù)。

　　通過(guò) Http 協(xié)議其他 header 字段，服務(wù)器每次返回時(shí)設(shè)置該 header 字段信息，瀏覽器中 js 讀取該 header 字段，請(qǐng)求服務(wù)器時(shí)，js設(shè)置攜帶該 header 字段。

　　cookie、session、token 三者之間的關(guān)系

　　1. session機(jī)制

　　session是服務(wù)端存儲(chǔ)的一個(gè)對(duì)象，主要用來(lái)存儲(chǔ)所有訪問(wèn)過(guò)該服務(wù)端的客戶端的用戶信息(也可以存儲(chǔ)其他信息)，從而實(shí)現(xiàn)保持用戶會(huì)話狀態(tài)。但是服務(wù)器重啟時(shí)，內(nèi)存會(huì)被銷毀，存儲(chǔ)的用戶信息也就消失了。

　　不同的用戶訪問(wèn)服務(wù)端的時(shí)候會(huì)在session對(duì)象中存儲(chǔ)鍵值對(duì)，“鍵”用來(lái)存儲(chǔ)開(kāi)啟這個(gè)用戶信息的“鑰匙”，在登錄成功后，“鑰匙”通過(guò)cookie返回給客戶端，客戶端存儲(chǔ)為sessionId記錄在cookie中。當(dāng)客戶端再次訪問(wèn)時(shí)，會(huì)默認(rèn)攜帶cookie中的sessionId來(lái)實(shí)現(xiàn)會(huì)話機(jī)制。

　　1.1 session是基于cookie的

　　cookie的數(shù)據(jù)4k左右;

　　cookie存儲(chǔ)數(shù)據(jù)的格式：字符串key=value

　　cookie存儲(chǔ)有效期：可以自行通過(guò)expires進(jìn)行具體的日期設(shè)置，如果沒(méi)設(shè)置，默認(rèn)是關(guān)閉瀏覽器時(shí)失效。

　　cookie有效范圍：當(dāng)前域名下有效。所以session這種會(huì)話存儲(chǔ)方式方式只適用于客戶端代碼和服務(wù)端代碼運(yùn)行在同一臺(tái)服務(wù)器上(前后端項(xiàng)目協(xié)議、域名、端口號(hào)都一致，即在一個(gè)項(xiàng)目下)

　　1.2 session的持久化

　　用于解決重啟服務(wù)器后session消失的問(wèn)題。在數(shù)據(jù)庫(kù)中存儲(chǔ)session，而不是存儲(chǔ)在內(nèi)存中。通過(guò)包：express-mysql-session。

　　當(dāng)客戶端存儲(chǔ)的cookie失效后，服務(wù)端的session不會(huì)立即銷毀，會(huì)有一個(gè)延時(shí)，服務(wù)端會(huì)定期清理無(wú)效session，不會(huì)造成無(wú)效數(shù)據(jù)占用存儲(chǔ)空間的問(wèn)題。

　　2. token機(jī)制

　　該機(jī)制適用于前后端分離的項(xiàng)目(前后端代碼運(yùn)行在不同的服務(wù)器下)。

　　請(qǐng)求登錄時(shí)，token和sessionid原理相同，是對(duì)key和key對(duì)應(yīng)的用戶信息進(jìn)行加密后的加密字符，登錄成功后，會(huì)在響應(yīng)主體中將{token：“字符串”}返回給客戶端。

　　客戶端通過(guò)cookie都可以進(jìn)行存儲(chǔ)。再次請(qǐng)求時(shí)不會(huì)默認(rèn)攜帶，需要在請(qǐng)求攔截器位置給請(qǐng)求頭中添加認(rèn)證字段Authorization攜帶token信息，服務(wù)器就可以通過(guò)token信息查找用戶登錄狀態(tài)。

　　session的工作原理?

　　當(dāng)客戶端登錄完成后，會(huì)在服務(wù)端產(chǎn)生一個(gè)session，此時(shí)服務(wù)端會(huì)將sessionid返回給客戶端瀏覽器。客戶端將sessionid儲(chǔ)存在瀏覽器的cookie中，當(dāng)用戶再次登錄時(shí)，會(huì)獲得對(duì)應(yīng)的sessionid，然后將sessionid發(fā)送到服務(wù)端請(qǐng)求登錄，服務(wù)端在內(nèi)存中找到對(duì)應(yīng)的sessionid，完成登錄，如果找不到，返回登錄頁(yè)面。

　　更多關(guān)于“Java培訓(xùn)”的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒已有十余年的培訓(xùn)經(jīng)驗(yàn)，課程大綱更科學(xué)更專業(yè)，有針對(duì)零基礎(chǔ)的就業(yè)班，有針對(duì)想提升技術(shù)的好程序員班，高品質(zhì)課程助力你實(shí)現(xiàn)java程序員夢(mèng)想。