当前位置：首页 > news >正文

【Spring】Cookie与Session

news 2026/3/27 13:23:47

💐个人主页：初晴~

📚相关专栏：计算机网络那些事

一、Cookie是什么？

Cookie的存在主要是为了解决HTTP协议的无状态性问题，即协议本身无法记住用户之前的操作。

"⽆状态" 的含义指的是:

默认情况下 HTTP 协议的客⼾端和服务器之间的这次通信，和下次通信之间没有直接的联系

但是实际开发中，我们很多时候是需要知道请求之间的关联关系的

例如登陆⽹站成功后, 第⼆次访问的时候服务器就能知道该请求是否是已经登陆过了

上述图中的 "令牌" 通常就存储在 Cookie 字段中。

⽐如去医院挂号

1. 看病之前先挂号. 挂号时候需要提供⾝份证号, 同时得到了⼀张 "就诊卡", 这个就诊卡就相当于患者的 "令牌".

2. 后续去各个科室进⾏检查, 诊断, 开药等操作, 都不必再出⽰⾝份证了, 只要凭就诊卡即可识别出当前患者的⾝份.

3. 看完病了之后, 不想要就诊卡了, 就可以注销这个卡. 此时患者的⾝份和就诊卡的关联就销毁了. (类似于⽹站的注销操作)

4. ⼜来看病, 可以办⼀张新的就诊卡, 此时就得到了⼀个新的 "令牌"

此时在服务器这边就需要记录"令牌"信息, 以及令牌对应的⽤⼾信息, 这个就是 Session 机制所做的⼯作

二、Session是什么？

Session（会话）是Web开发中用于管理用户状态的一种机制。它允许服务器在多个页面请求或多个浏览器会话之间保持用户的状态信息。

所谓的会话，其实就可以理解为 “对话”

在计算机领域，会话是⼀个客⼾与服务器之间的不中断的请求响应。对客⼾的每个请求，服务器能够识别出请求来⾃于同⼀个客⼾。当⼀个未知的客⼾向Web应⽤程序发送第⼀个请求时就开始了⼀个会话。当客⼾明确结束会话或服务器在⼀个时限内没有接受到客⼾的任何请求时，会话就结束了

⽐如我们打客服电话

每次打客服电话，是⼀个会话. 挂断电话，会话就结束了

下次再打客服电话，⼜是⼀个新的会话

如果我们⻓时间不说话，没有新的请求，会话也会结束

服务器同⼀时刻收到的请求是很多的。服务器需要清楚的区分每个请求是属于哪个⽤⼾，也就是属于哪个会话，就需要在服务器这边记录每个会话以及与⽤⼾的信息的对应关系。

Session是服务器为了保存⽤⼾信息⽽创建的⼀个特殊的对象

Session的本质就是⼀个 "哈希表", 存储了⼀些键值对结构. Key 就是SessionID, Value 就是⽤⼾信息(⽤⼾信息可以根据需求灵活设计)

SessionId 是由服务器⽣成的⼀个 "唯⼀性字符串"，从 Session 机制的⻆度来看，这个唯⼀性字符串称为 " SessionId "。但是站在整个登录流程中看待，也可以把这个唯⼀性字符串称为 " token "。

上述例⼦中的令牌ID，就可以看做是SessionId，只不过令牌除了ID之外，还会带⼀些其他信息，⽐如时间、签名等

1. 当⽤⼾登陆的时候，服务器在 Session 中新增⼀个新记录，并把 sessionId返回给客⼾端 (通过 HTTP 响应中的 Set-Cookie 字段返回)

2. 客⼾端后续再给服务器发送请求的时候，需要在请求中带上 sessionId。(通过 HTTP 请求中的 Cookie 字段带上)

3. 服务器收到请求之后，根据请求中的 sessionId在 Session 信息中获取到对应的⽤⼾信息，再进⾏后续操作。找不到则重新创建Session，并把SessionID返回

Session 默认是保存在内存中的。如果重启服务器则 Session 数据就会丢失

三、Cookie 与 Session 的区别

1、存储位置：

Cookie：存储在客户端（用户的浏览器）中，通常以键值对的形式存在。
Session：存储在服务器端，客户端通常只存储一个Session ID，用于标识对应的服务器端Session。

2、存储大小和数量限制：

Cookie：每个Cookie的大小一般限制在4KB左右，每个域名下可以存储的Cookie数量有限（大约20个）。
Session：理论上没有严格的大小限制，但受到服务器存储空间的限制。Session可以存储更多的数据。

3、生命周期：

Cookie：可以设置过期时间，浏览器会在过期后删除Cookie，或者用户可以手动清除。
Session：依赖于服务器的配置，通常在用户关闭浏览器或Session超时后结束。

4、安全性：

Cookie：由于存储在客户端，更容易受到跨站脚本攻击（XSS）和跨站请求伪造（CSRF）等攻击，安全性较低。
Session：由于存储在服务器端，不易被篡改，相对更安全。但是，Session ID的传输需要安全保护，以防止Session劫持。

5、使用场景：

Cookie：适用于存储不太敏感的数据，如用户偏好设置、会话标识符等。
Session：适用于存储敏感数据，如用户的登录状态、购物车内容等。

6、传输：

Cookie：每次HTTP请求都会自动包含在请求头中发送给服务器，增加了HTTP请求的大小。
Session：只有Session ID在客户端和服务器之间传递，实际的Session数据存储在服务器端，减少了网络传输。

7、控制权：

Cookie：由客户端浏览器控制，用户可以禁用Cookie或手动删除。
Session：由服务器控制，服务器可以创建、修改和删除Session。

8、跨域访问：

Cookie：可以设置为跨域访问，允许多个相关联的域名访问相同的Cookie。
Session：通常局限于创建它的域名，除非通过特定的机制（如Session联邦）来实现跨域Session共享。

Cookie 和 Session之间主要是通过 SessionId 关联起来的，SessionId 是 Cookie 和 Session 之间的桥梁

注意：

Cookie 和 Session 经常会在⼀起配合使⽤，但是不是必须配合：

完全可以⽤ Cookie 来保存⼀些数据在客⼾端。这些数据不⼀定是⽤⼾⾝份信息，也不⼀定是 SessionId
Session 中的sessionId 也不需要⾮得通过 Cookie/Set-Cookie 传递，⽐如通过URL传递

那么本篇文章就到此为止了，如果觉得这篇文章对你有帮助的话，可以点一下关注和点赞来支持作者哦。如果有什么讲的不对的地方欢迎在评论区指出，希望能够和你们一起进步✊

【Spring】Cookie与Session

一、Cookie是什么？

二、Session是什么？

三、Cookie 与 Session 的区别

相关文章：

【Spring】Cookie与Session

chat_gpt回答：qt中，常见格式及格式转换

CSS兼容处理

制氮机分子筛的材质选择

使用Virtual Audio Cable捕获系统音频输出并使用Python处理

微信小程序scroll-view吸顶css样式化表格的表头及iOS上下滑动表头的颜色覆盖及性能分析

HDU-1695 GCD

unity游戏开发之赛车游戏

解决milvus migration 迁移数据到出现数据丢失问题

Python Flask 数据库开发

深度学习（七）深度强化学习：融合创新的智能之路（7/10）

mac电脑通过 npm 安装 @vue/cli脚手架超时问题；

【52 机器学习 | 基于KNN近邻和随机森林模型对用户转化进行分析与预测】

【Linux】Zookeeper 部署

配置mysql 主主模式 GTID

推荐一款多显示器屏幕亮度调节工具：Twinkle Tray

第十一章 Shiro会话管理和加密

DDR4单个DQ仿真实战（一）

Android Studio插件版本与Gradle 版本对应关系

Uni-App-01

RWKV7-1.5B-g1a一文详解：轻量中文对话与文案续写实战

AnotherRedisDesktopManager：提升Redis管理效率的全方位解决方案

DownKyi：B站视频下载工具的全方位技术解析与应用指南

CentOS 7下OnlyOffice离线部署全攻略：从依赖包下载到一键配置（避坑指南）

终极桌面歌词解决方案：LyricsX 让你的音乐体验全面升级

路径规划算法技术选型与实战指南：从理论到工程落地

A-59F 多功能语音处理模组：覆盖全场景人群，让每一次语音都清晰无噪

HunyuanVideo-Foley部署案例：混合精度（FP16/AMP）推理性能实测报告

解决Redis测试环境搭建难题的try.redis工具：零配置交互式终端功能全解析

Phi-4-Reasoning-VisionGPU算力：双卡4090推理吞吐达12 token/s实测