状态管理小能手:Cookie 和 Session

2023-10-18 12:41:36 浏览数 (3)

1. 引言

大家好,我是小❤,一个漂泊江湖多年的 985 非科班程序员,曾混迹于国企、互联网大厂和创业公司的后台开发攻城狮。

假期抢票的尴尬事件

最近小❤在抢出行的高铁票时,发生了一件尴尬的事情。

这不是临近中秋和国庆假期了嘛,按以往经验,抢票应该比较难。于是我通过渠道找了一牛子哥,帮忙抢票,抢票时间在第二天早上 9 点。

好巧不巧,第二天 8点多的时候正好打开了手机,就想着上 12306 去看看票。

输手机号,拿验证码,登录,一气呵成!

结果,到 9 点多的时候牛子哥给我说抢票失败了!原因竟然是中途账号被顶了,而 12306 一个账号同一时间只能让一部手机登录。

啊这?!

我还以为牛子哥用了什么高端渠道,或者是神奇 App,原来...

于是,我就趁此机会复习一下 12306 的登录机制,便有了这篇文章!

设备限制的底层逻辑

如今,网站或者手机应用限制登录设备个数已经屡见不鲜了。

不管是限制登录个数,还是保持登录状态,都和网络交互的 HTTP 协议,以及客户端和服务端的 Cookie、Session 技术息息相关

虽然咱每天都在与它们打交道,但你是否真的理解它们的原理和使用方式呢?接下来,让我们一起来揭开它们的神秘面纱吧!

2. 产生背景

我们都知道,HTTP 是一个无状态协议。

无状态是指服务端不会跟踪和记录请求,即对请求处理没有记忆能力,这意味着每个请求都是独立的。

它的优缺点分别是:

  • 优点:服务器处理请求时不需要上下文信息,因此应答很快,每一次请求都是“点到为止”,提升了请求处理的效率。
  • 缺点:缺少访问状态意味着如果后续请求和之前有关联,比如 APP 登录功能,就会导致切换 APP 页面时,就必须重传请求。

想象一下,每次在手机上切换应用,或者把应用收到后台就需要我们重新登录一次,那也太恶心了。

一般应用或者网站都会有这种登录状态:

所以,我们对登录功能的诉求是:

  • 登陆 APP 时,需要记住登录用户名密码信息,避免每次都进行用户名密码输入操作。
  • 登陆 APP 时,需要记住用户登陆的状态,避免每次都进行重复登录的操作。

除此之外,在一些其它 Web 交互场景下也需要记住状态,比如:

  • 购物车添加商品时,需要标识和跟踪某个用户,才能知道购物车里面有几本书。

于是,两种用于保持 HTTP 连接状态的技术应运而生,分别是 Cookie 和 Session。

3. Session:身份的标识符

Session,就像你的身份证一样,是一种在服务器和客户端之间传递身份信息的方式。

用户登录生成 Session 的时序图如下:

当你登录一个网站时,服务器会生成一个唯一的 SessionID,并将它存储在服务器端,然后将这个 ID 发送到你的浏览器,通常以 Cookie 的形式。

Postman 请求登录接口,响应如下:

postman请求登录接口

这个 SessionID 就像是你的通行证,每当你访问需要登录的页面时,浏览器都会将它发送给服务器。

服务器通过这个 ID 来识别你,就像保安看到你的身份证一样。

4. Cookie:保持记忆

Cookie 是一个小小的文本文件,它被存储在你的浏览器中。

正如 Cookie 本身的含义,它就像一个小甜点,作用是让服务器能够在不同的 HTTP 请求之间"记住"你。

当你登录一个网站时,服务器已经将一些信息存储在 Cookie 中,比如你的用户名或一些用户首选项。

然后,每当你再次访问这个网站时,浏览器都会将这些信息发送给服务器,这样服务器就能够"认识"你,而不需要你重新登录。

用户通过 Cookie 与应用交互的时序图如下:

通过将 SessionId 放在缓存里,每次用户交互时只要带上 Cookie,应用层就可以解析出对应的 SessionId,验证用户的身份,获取用户信息。

Postman 交互如下:

postman调用业务接口

有时,为了信息隐私,我们可以在浏览器设置不记录 Cookie。

但是,这样我们每次在页面交互时都需要重新登录,体验就会比较差。

5. Session与 Cookie 的关系

PS:这个是 Web 和后台开发面试的常考题,赶快拿小本本记下来

1 人点赞