Cookie 和 Session 是 Web 應(yīng)用程序中用于保持用戶狀態(tài)的兩種常見機(jī)制，它們之間既有聯(lián)系也有區(qū)別。

Cookie 是由服務(wù)器在 HTTP 響應(yīng)中發(fā)送給客戶端（通常是瀏覽器）的一小段數(shù)據(jù)。客戶端將這些信息保存在本地，并在后續(xù)的請求中自動將其發(fā)送回服務(wù)器。

而 Session 是在服務(wù)器端創(chuàng)建的一種機(jī)制，用于跟蹤用戶的會話狀態(tài)。服務(wù)器會給每個用戶分配一個唯一的會話 ID，并將該 ID 通過 Cookie 或其他方式傳遞給客戶端。客戶端隨后在請求時攜帶會話 ID，服務(wù)器根據(jù)這個 ID 從內(nèi)存或數(shù)據(jù)庫中檢索與該用戶相關(guān)的會話數(shù)據(jù)。

1.Cookie和Session的關(guān)系

嚴(yán)格意義上來說，Cookie 和 Session 是沒有任何關(guān)系的，但 Session 的實(shí)現(xiàn)中借助了 Cookie 機(jī)制。

通過以下 Session 執(zhí)行的機(jī)制，我們就能知道 Session 是如何借助 Cookie 完成自己的執(zhí)行流程的：

• 會話創(chuàng)建：通常情況下，當(dāng)用戶登錄成功后，服務(wù)器會為該用戶創(chuàng)建一個新的會話。在創(chuàng)建會話過程中，服務(wù)器會為該會話生成一個唯一的標(biāo)識符，通常稱為 Session ID。
• Session ID 傳遞：服務(wù)器將生成的 Session ID 通過響應(yīng)的方式發(fā)送給客戶端，使用 SetCookie 命令，將用戶的 Session ID 保存在 Cookie 中，通常是一個名為 JSESSIONID 的 Cookie。
• Session 數(shù)據(jù)存儲：在服務(wù)器端，Session 數(shù)據(jù)會被存儲在一個能夠關(guān)聯(lián) Session ID 的數(shù)據(jù)結(jié)構(gòu)中（例如內(nèi)存、數(shù)據(jù)庫或者文件存儲等）。常用的方式是將 Session ID 作為鍵，與對應(yīng)的 Session 用戶身份數(shù)據(jù)進(jìn)行關(guān)聯(lián)。
• Session ID 驗(yàn)證與檢索：當(dāng)用戶發(fā)送一個新的請求時，客戶端會將之前存儲的 Session ID 攜帶在請求的 Cookie 或請求頭中發(fā)送給服務(wù)器。服務(wù)器會根據(jù) Session ID 找到對應(yīng)的 Session 數(shù)據(jù)，從而獲得用戶的狀態(tài)信息。
• Session 數(shù)據(jù)使用：服務(wù)器在獲取到 Session 數(shù)據(jù)后，可以根據(jù)具體需求讀取、修改或刪除其中保存的狀態(tài)信息。服務(wù)器可以通過 Session 來管理用戶的登錄狀態(tài)、購物車內(nèi)容、用戶配置等。
• Session 過期與銷毀：Session 有一個有效期限，一般通過設(shè)置一個固定的時間，或者在一定時間內(nèi)沒有用戶活動時會將 Session 標(biāo)記為過期。當(dāng) Session 過期時，服務(wù)器會銷毀對應(yīng)的 Session 數(shù)據(jù)，釋放內(nèi)存或其他資源。

所以默認(rèn)情況下，Session 是借助 Cookie 來完成身份標(biāo)識的傳遞的，這樣服務(wù)器端才能根據(jù) Session ID 和保存的會話信息進(jìn)行關(guān)聯(lián)，用于找到某個具體登錄的用戶，所以說：默認(rèn)情況下，Session 機(jī)制是依賴 Cookie 實(shí)現(xiàn)的。

2.禁用Cookie后Session還能用嗎？

那么問題來了，禁用 Cookie 后 Session 還能用嗎？

答案是：默認(rèn)情況下禁用 Cookie 后，Session 是無法正常使用的。

“

這是因?yàn)榇蠖鄶?shù) Web 服務(wù)器都是依賴于 Cookie 來傳遞 Session 的會話 ID 的?？蛻舳藶g覽器禁用 Cookie 時，服務(wù)器將無法把會話 ID 發(fā)送給客戶端，客戶端也無法在后續(xù)請求中攜帶會話 ID 返回給服務(wù)器，從而導(dǎo)致服務(wù)器無法識別用戶會話。

”

但是，默認(rèn)情況下禁用 Cookie 后，Session 就不能用了，但可以通過一些手段來解決這個問題。

3.解決方案

以下的兩種解決方案可以繞過 Cookie 繼續(xù)運(yùn)行 Session：

• URL 中攜帶 SessionID：可以通過 URL 重寫的方式將 Session ID 添加到所有的 URL 中。服務(wù)器生成 Session ID 后，將其作為 URL 的一部分傳遞給客戶端，客戶端在后續(xù)的請求中將 Session ID 帶在 URL 中。服務(wù)器端需要相應(yīng)地解析 URL 來獲取 Session ID，并維護(hù)用戶的會話狀態(tài)。
• 隱藏表單字段傳遞 SessionID：將 Session ID 添加到 HTML 表單的隱藏字段中。在每個表單中添加一個隱藏的字段，保存 Session ID，客戶端提交表單時會將 Session ID 隨表單數(shù)據(jù)一起發(fā)送到服務(wù)器，服務(wù)器通過解析表單數(shù)據(jù)中的 Session ID 來獲取用戶的會話狀態(tài)。
• 這些方法雖然可以在禁用 Cookie 的情況下繼續(xù)使用 Session，但需要在服務(wù)器端進(jìn)行相應(yīng)的代碼修改和配置。但同時這些手段也帶來了以下幾個新問題：
• 增加了編碼復(fù)雜度：需要改前端和后端代碼才能繼續(xù)使用 Session 機(jī)制，增加了編碼復(fù)雜度。
• 增加了安全風(fēng)險：這些替代方法可能會增加一些安全風(fēng)險，因?yàn)?Session ID 將以明文形式出現(xiàn)在 URL 或表單中，很容易被第三方劫持和獲取。

小結(jié)

Session 實(shí)現(xiàn)是依賴 Cookie 來存儲會話 ID 的，所以默認(rèn)情況下，如果禁用了 Cookie，Session 就不能使用了。

但是我們可以通過特殊的手段，例如在 URL 中傳遞 SessionID 或表單中使用隱藏字段傳遞 SessionID 的方式，配合服務(wù)器端代碼的修改，是 Session 機(jī)制繼續(xù)使用，但這樣使用增加了編碼的復(fù)雜度，和帶來了一定的安全風(fēng)險。