3 分鐘帶你深刻了解 Cookie、Session、Token

常常會有用戶諮詢，CDN 是否會傳遞 Cookie 信息，是否會對源站 Session 有影響，Token 的防盜鏈配置爲何老是配置失敗？爲此，咱們就針對 Cookie、Session 和 Token，來談談它們的用處是什麼。

Cookie

Cookie 雖然聽起來不是技術名詞，但卻爲互聯網提供一項相當重要的功能：「記錄訪問過的網站或正在訪問的網站。」

HTTP 協議是無狀態的，服務器不知道瀏覽器上一次訪問作了什麼，也沒法對用戶會話進行跟蹤鏈接。爲此就引入 Cookie 技術，Cookie 是由服務器發送到客戶端瀏覽器的一小段文本文件，包含了網站訪問活動信息。例如首選項語言或其它一些設置。瀏覽器會保存這些數據，並在客戶端下次訪問該網站時調用它們，提供更方便和個性化的訪問體驗。

舉個簡單的例子：咱們在瀏覽購物網站時，會將選購商品添加到購物車。若是沒有 Cookie 技術，由於 HTTP 是無狀態協議，它不會知道以前添加選購哪些商品，放在哪一個用戶的購物車中。而應用 Cookie 技術後，Cookie 纔會將這些信息在會話中發送給服務器，服務器讀取 Cookie 信息就知道是哪些用戶購物車中添加的商品信息。

Cookie 的屬性，就意味着它會暴露用戶的一些隱私。Cookie 存放了客戶端留在網站的信息，它會根據用戶喜愛和訪問信息記錄，推送一些用戶喜歡的信息。咱們在瀏覽網頁中，經常看到在線廣告，大多數在線廣告就是依附 Cookie 技術對客戶端瀏覽器進行推廣，在網頁中顯示相關度較高的廣告。

Session

Session 表示的是 C/S 架構中服務器和客戶端一次會話的過程，用來保存認證用戶信息。Session 是一種 HTTP 存儲機制，目的是爲無狀態的 HTTP 提供持久機制。這樣用戶在應用程序的 Web 頁面跳轉時，就不會由於 HTTP 無狀態的性質致使對話丟失，從而使訪問會話一直保持下去。

服務器端存儲用戶數據信息。必須知道每一個用戶分別是誰，那麼每一個用戶必須有個名字，或者說是 ID，這就是所謂的「Session ID」。用戶請求後，服務器會生成 Session ID 並返還，後續用戶的每次請求，都會帶上這個 Session ID，而後服務器經過在數據庫的搜索對應，找到該用戶及其相關信息，好比對應的用戶是登陸狀態仍是超時登出之類的。

信息狀態存在服務器端，用戶只須要留存 Session ID。大多數時候經過 Cookie 傳遞存放，固然也能夠用 ajax 傳，存 Local Storage 或 Session Storage 或 IndexDB 或 Web SQL，反正只要用戶拿到並存着就行，甚至能夠用 URL 重寫的方式傳遞。

好比：二狗子在http://www.a.com/login.php網站中登錄，同時但願http://www.a.com/index.php也是登錄狀態。但這是兩個不一樣的頁面和 HTTP 請求，而且 HTTP 是無狀態協議，是無關聯的，也就沒法在 /index.php 中讀取 /login.php 登錄狀態。因而咱們就能夠依靠 Session 會話技術，它經過保持會話的方式，將屢次 HTTP 請求關聯到一個會話中，保持數據傳輸的完整性。

Token

Token 是「令牌」的意思，主要是用於身份的驗證方式。以又拍雲的 Token 防盜鏈爲例，Token 經過對時間相關的字符串進行簽名，將時間、簽名信息經過必定的方式傳遞給 CDN 節點服務器做爲斷定依據，CDN 邊緣節點依據約定的算法判斷來訪的 URL 是否有訪問權限。若是經過，執行下一步；若是不經過，響應 HTTP 403 狀態碼或者經過 302 跳轉到其餘 URL。

如上圖所示，整個 Token 防盜鏈的實現須要以下幾個部分來配合：

• 客戶端：負責發送原始請求給客戶端業務服務器以及發送帶簽名的 URL 給 CDN 節點進行驗證；
• 業務服務器：根據約定的算法生成帶 _upt 參數的 URL 返回給客戶端；
• CDN 節點：負責和客戶端進行時間、簽名校驗；

Token 的實現方式

在瞭解 Token 實現須要客戶端、服務器端、CDN 節點來配合後，再來簡單看下 Token 具體是如何實現的：

步驟1：客戶端業務服務器生成驗證信息，驗證信息的生成由業務服務器負責，具體的加密過程須要確認以下事項：

• 確認過時時間的格式，默認採用 UNIX 時間戳格式
• 確認驗證信息中的密文，用戶計算驗證信息，須要和 CDN 平臺約定
• 確認驗證信息時加入的參數，默認爲 URL 的路徑部分
• 根據上文的算法說明計算驗證信息，其中請求 URL 中的驗證參數爲 _upt

步驟2：CDN 節點驗證過程

• 根據約定解析取出過時時間，和當前 CDN 節點服務器時間進行比較，確認請求是否過時
• 根據上文約定好的算法計算方式，計算出 MD5 加密串後，和 URL 中的加密串進行比較，驗證加密串是否一致

若是以上兩個步驟都驗證經過，請求才會被認爲是合法的，這時 CDN 會請求資源響應給客戶端，不然會被認爲是非法請求，直接響應 HTTP status code 403。

最後，作下簡單的總結：

Cookie 存放在客戶端，用來保存客戶端會話信息。因爲存儲在客戶端，它的安全性不能徹底保證。

Session 存放在服務器端，用戶驗證客戶端信息。若是把 Cookie 比喻成電話號碼，那麼 Session 就是記錄全部人信息的電話簿。因爲存儲在服務器，安全性有必定的保證。

Token 是一種認證方式。經過預約的規則來計算 Token 值併發送給服務器進行訪問驗證。

讀完這篇文章，我相信你已經對 Cookie、Session、Token 有詳盡的瞭解了。

推薦閱讀：

Token 防盜鏈詳解​
使用Token防盜鏈實現發佈內容私有化