3 分钟带你深刻了解 Cookie、Session、Token

常常会有用户咨询，CDN 是否会传递 Cookie 信息，是否会对源站 Session 有影响，Token 的防盗链配置为何老是配置失败？为此，咱们就针对 Cookie、Session 和 Token，来谈谈它们的用处是什么。

Cookie

Cookie 虽然听起来不是技术名词，但却为互联网提供一项相当重要的功能：“记录访问过的网站或正在访问的网站。”

HTTP 协议是无状态的，服务器不知道浏览器上一次访问作了什么，也没法对用户会话进行跟踪链接。为此就引入 Cookie 技术，Cookie 是由服务器发送到客户端浏览器的一小段文本文件，包含了网站访问活动信息。例如首选项语言或其它一些设置。浏览器会保存这些数据，并在客户端下次访问该网站时调用它们，提供更方便和个性化的访问体验。

举个简单的例子：咱们在浏览购物网站时，会将选购商品添加到购物车。若是没有 Cookie 技术，由于 HTTP 是无状态协议，它不会知道以前添加选购哪些商品，放在哪一个用户的购物车中。而应用 Cookie 技术后，Cookie 才会将这些信息在会话中发送给服务器，服务器读取 Cookie 信息就知道是哪些用户购物车中添加的商品信息。

Cookie 的属性，就意味着它会暴露用户的一些隐私。Cookie 存放了客户端留在网站的信息，它会根据用户喜爱和访问信息记录，推送一些用户喜欢的信息。咱们在浏览网页中，经常看到在线广告，大多数在线广告就是依附 Cookie 技术对客户端浏览器进行推广，在网页中显示相关度较高的广告。

Session

Session 表示的是 C/S 架构中服务器和客户端一次会话的过程，用来保存认证用户信息。Session 是一种 HTTP 存储机制，目的是为无状态的 HTTP 提供持久机制。这样用户在应用程序的 Web 页面跳转时，就不会由于 HTTP 无状态的性质致使对话丢失，从而使访问会话一直保持下去。

服务器端存储用户数据信息。必须知道每一个用户分别是谁，那么每一个用户必须有个名字，或者说是 ID，这就是所谓的“Session ID”。用户请求后，服务器会生成 Session ID 并返还，后续用户的每次请求，都会带上这个 Session ID，而后服务器经过在数据库的搜索对应，找到该用户及其相关信息，好比对应的用户是登陆状态仍是超时登出之类的。

信息状态存在服务器端，用户只须要留存 Session ID。大多数时候经过 Cookie 传递存放，固然也能够用 ajax 传，存 Local Storage 或 Session Storage 或 IndexDB 或 Web SQL，反正只要用户拿到并存着就行，甚至能够用 URL 重写的方式传递。

好比：二狗子在http://www.a.com/login.php网站中登录，同时但愿http://www.a.com/index.php也是登录状态。但这是两个不一样的页面和 HTTP 请求，而且 HTTP 是无状态协议，是无关联的，也就没法在 /index.php 中读取 /login.php 登录状态。因而咱们就能够依靠 Session 会话技术，它经过保持会话的方式，将屡次 HTTP 请求关联到一个会话中，保持数据传输的完整性。

Token

Token 是“令牌”的意思，主要是用于身份的验证方式。以又拍云的 Token 防盗链为例，Token 经过对时间相关的字符串进行签名，将时间、签名信息经过必定的方式传递给 CDN 节点服务器做为断定依据，CDN 边缘节点依据约定的算法判断来访的 URL 是否有访问权限。若是经过，执行下一步；若是不经过，响应 HTTP 403 状态码或者经过 302 跳转到其余 URL。

如上图所示，整个 Token 防盗链的实现须要以下几个部分来配合：

• 客户端：负责发送原始请求给客户端业务服务器以及发送带签名的 URL 给 CDN 节点进行验证；
• 业务服务器：根据约定的算法生成带 _upt 参数的 URL 返回给客户端；
• CDN 节点：负责和客户端进行时间、签名校验；

Token 的实现方式

在了解 Token 实现须要客户端、服务器端、CDN 节点来配合后，再来简单看下 Token 具体是如何实现的：

步骤1：客户端业务服务器生成验证信息，验证信息的生成由业务服务器负责，具体的加密过程须要确认以下事项：

• 确认过时时间的格式，默认采用 UNIX 时间戳格式
• 确认验证信息中的密文，用户计算验证信息，须要和 CDN 平台约定
• 确认验证信息时加入的参数，默认为 URL 的路径部分
• 根据上文的算法说明计算验证信息，其中请求 URL 中的验证参数为 _upt

步骤2：CDN 节点验证过程

• 根据约定解析取出过时时间，和当前 CDN 节点服务器时间进行比较，确认请求是否过时
• 根据上文约定好的算法计算方式，计算出 MD5 加密串后，和 URL 中的加密串进行比较，验证加密串是否一致

若是以上两个步骤都验证经过，请求才会被认为是合法的，这时 CDN 会请求资源响应给客户端，不然会被认为是非法请求，直接响应 HTTP status code 403。

最后，作下简单的总结：

Cookie 存放在客户端，用来保存客户端会话信息。因为存储在客户端，它的安全性不能彻底保证。

Session 存放在服务器端，用户验证客户端信息。若是把 Cookie 比喻成电话号码，那么 Session 就是记录全部人信息的电话簿。因为存储在服务器，安全性有必定的保证。

Token 是一种认证方式。经过预约的规则来计算 Token 值并发送给服务器进行访问验证。

读完这篇文章，我相信你已经对 Cookie、Session、Token 有详尽的了解了。

推荐阅读：

Token 防盗链详解​
使用Token防盗链实现发布内容私有化