我对 cookie 和 session 区别的理解

摘自我对《Agile Web Development Rails 5》所做的笔记。

对于 cookie 和 session 的区别，人们往往张口就来，cookie 存储在客户端，session 存储在服务端，其实并非如此。

Rails Sessions

session 用来保持状态，不要和 cookie 混淆，它们只是有一点点交集而已。

Session Storage

session 的存储方式 session_store ，在 rails 中多达 6 种：

• :cookie_store
• :active_record_store
• :drb_store
• :mem_cache_store
• :memory_store
• :file_store

这 6 种方式，除了第一种 :cookie_store 是存储在客户端，其余都是在服务端进行状态的持久化。而第一种也是最常用的方式 (rails 中的默认方式)，这就是为什么我们很容易把它和 cookie 混淆。cookie 是实现 session 的一种手段。

我认为，人们常说的 cookie 有广义和狭义之分，广义的 cookie，就是被浏览器客户端持久化的这些对象，会在每次请求时被浏览器自动携带，它包括狭义的 cookie 和 session。狭义的 cookie 就是所有的 cookie 中除去 session 的那部分。

如果采用 :cookie_store 方式的 session，数据失效很好处理，关闭浏览器，再打开浏览器，cookie 中的 session 部分就会被自动清空，所以这种方式 session 的有效周期维持在一个浏览器进程时长。这种方式将减轻服务端逻辑。

如果采用服务端方式的 session，session 的生命周期是永久的，因此必须借助过期时间来清除过期的 session。另外，要注意，采用服务端方式的 session，并不是说就不需要往客户端存储任何数据了，还是需要的，只是只需要存储一个 session_id ，然后通过 session_id 到服务端再去拿对应的其它数据。

Baurine