Cookie 和 Session 有什么区别?何时用 Cookie,何时用 Session?
Cookie 存在客户端浏览器,每次请求自动携带,上限约 4KB,可被用户查看和篡改;Session 存在服务端(内存/Redis/数据库),客户端只持有 Session ID(通常通过 Cookie 传递),数据大小无硬性限制,安全性更高。核心区别是状态存储位置:Cookie 是客户端状态,Session 是服务端状态。选择依据:非敏感偏好数据(主题、语言)用 Cookie;登录态、权限等敏感数据用 Session。Session 的局限在于服务端需存储状态,分布式场景需用 Redis 等集中式存储共享 Session,否则粘性Session限制了水平扩展。JWT 是第三条路:将状态编码进 Token 本身,服务端无状态验证签名即可,但 Token 体积大且无法主动失效。
追问
Session ID 被窃取会怎样?如何防范? 攻击者可用截获的 Session ID 冒充用户(Session 劫持)。防范:Cookie 标记 HttpOnly+Secure,绑定 IP/UA 校验,使用 SameSite 属性,Session 定期轮换 ID,设置合理超时。
分布式系统中 Session 如何共享? 三种方案:1) 粘性 Session(Nginx ip_hash),简单但不利于负载均衡;2) 集中存储(Redis/Memcached),最常用;3) Session 复制(Tomcat 集群广播),数据量大时性能差。
JWT 相比 Session 的优劣? 优势:无状态,服务端不存数据,天然支持分布式。劣势:无法主动注销(需黑名单机制又回到有状态),Token 体积大于 Session ID,续期机制复杂(双 Token 方案)。
Cookie 被禁用怎么办? Session ID 可通过 URL 参数传递(;jsessionid=xxx),但会暴露在日志和 Referer 中,安全性差。更推荐在登录页提示用户启用 Cookie。
写段代码
// Express 中 Session 存入 Redis const session = require('express-session'); const RedisStore = require('connect-redis'); app.use(session({ store: new RedisStore({ client: redisClient }), secret: 'your-secret', resave: false, cookie: { httpOnly: true, secure: true, maxAge: 3600000 } }));