客户端/web应用安全 cookie、session cookie存储在客户端 session存储在服务器端 cookie的产生以及传输验证

在用户登录一个网站时常常会涉及到用户登录的状态保持，来使得用户获得更好 的体验。

那么cookie和session就是为了实现状态保持的。整个实现状态保持的流程是这样 的：

1.用户在登录时向后端服务器发送post请求，服务器接受请求，检验请求参数无误 后，处理登录业务逻辑，返回响应。此时服务器端生成对应的cookie字符串，响应到 前端浏览器.

2.浏览器本地保存cookie值

3.在登录后用户再向服务器发送请求，则带着浏览器本地保存的cookie值，发送给服 务器

4.服务器在接受到请求后，获取到请求参数（里面带有cookie），服务器把获取的 cookie值跟之前服务器生成的cookie比较，发现cookie值相同，则默认时同一个用户 再访问服务器，从而实现用户登录状态保持。

举例：

我们去银行办理储蓄业务，第一次给你办了张银行卡，里面存放了身份证、密码、 手机等个人信息。当你下次再来这个银行时，银行机器能识别你的卡，从而能够直 接办理业务。

session比cookie安全性更高 session的产生以及传输验证

1、每个用户访问服务器都会建立一个session，那服务器是怎么标识用户的唯一身份 呢？用户与服务器建立连接的同时，服务器会自动为其分配一个SessionId。

2、seesion创建于服务器端，保存于服务器，每创建一个新的Session，服务器端都 会分配一个唯一的ID，并且把这个ID保存到客户端的Cookie中，保存形式是以 JsessionID来保存的

3、session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中， 而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息 以某种形式记录 在服务器上。这就是Session。客户端浏览器再次访问时只需要从该 Session中查找该客户的状态就可以了

说了这么多如何验证我们说的session是存在服务器而cookie是存在客户端浏览器呢？

Cookie-Editor

简单而强大的 Cookie 编辑器，让您无需离开标签即可快速创建、编辑和删除 cookie。

导出掘金网站的cookie

导入到Edge浏览器 并刷新即可