用户登录状态验证权限的时代变迁_destoon教程_destoon文档

cookie

直接在cookie中存信息可谓是上古时代的操作了，在服务器还没有那么便宜的情况下，好多网站选择将用户的登录信息存在cookie中，他们把用户名或者用户id转换并签名之后，直接存入cookie，如果有其他需要的信息，也是如此操作。

转换或签名可以是加盐md5，也可以是使用secret的双向加密。

用户第二次访问网站的时候，代码中对这段信息进行验证，看看是否是正确的签名的。

这样做的好处是：不会再占用服务器资源，直接就在cookie中读取数据，获得结果。

坏处是：登录凭据容易被窃取，尤其是那个年代还没有流行https，如果被中间人了，或者以另一种方式拿到了cookie，那就会被窃取登录，另外，每个数据还可能是分开存储的，因此容易被篡改。

当然那时的互联网也并没有那么发达，cookie也就存存用户名什么的用于显示。

Session

后来网速变快了，web 应用高速发展，大家意识到了很多问题，cookie 大小不够啊，cookie 每个 key 都这么搞一下暴露太多了等等。

从原理上来说，Session 就是 cookie。

客户端进入网站后，服务器分配一个 Session ID 给客户端种入 cookie，用户登录时，在服务器查询 Session ID，在服务器写入 Session Object，这个对象里存了用户的登录数据，比如 id 啦，用户名啦，登录状态 / 角色等等。

另外分配 Session ID 也可以是懒分配，也就是等到在服务器存 Session Object 的时候再分配也没有关系，Session ID 的分配可以是用 UserID 来进行加密分配，也可以用毫不相关的时间等信息进行加密分配，只需要保证这个 sid 唯一，不容易被伪造即可。

Session 的存放也是可重可轻，如果觉得 Session 很重要，那么可以放入 mysql，如果觉得 Session 不怎么重要，甚至可以放入内存，重启丢失。

Session 到至今还是非常非常多的网站在用，原因就是在于其实除了 https 以外的问题，并没有什么问题，IE >= 10 之后，cookie 也可以跨域，那么 Session 就没有什么问题。

好处是：在客户端除了 sid 以外，看不到任何信息，当然不太容易篡改。

坏处是：取 Session 的时候，是会需要再 query 一次的，也容易被窃取，当然这并不是 Session / cookie 的锅，http 下，啥都是一清二楚的。

另外，优缺点都是相对于时代和业务来说的，存 cookie 的时代服务器的性能不高，也没有 memcache 或者 redis 这种东西，存入 mysql 就需要再 query 一次，负载均衡当然不能同步内存中的 Session，cookie 成为了首选，那么现在呢，这点算力恐怕算不了什么，那么 Session 的那个坏处，就应该被划掉，Session 理所当然成为了流行的会话管理方式。

Session 和 cookie 都不需要前端介入，服务端通过 Set-cookie http 头就可以完成 sid 和 cookie 的更新。