服务端之Session和Cookie原理

1、最基本安全：

1、身份认证，登陆
2、资源授权，授权：可以访问什么，不能访问什么？RABC
3、验证是否登陆：可以用过滤器Fillter验证是否登陆，登陆的标志是什么呢？Token

2、应用场景：

比如说我们第一次登陆了，但是对于服务器来说只是一次post请求而已，第二次再来，还是一个新请求。如果还让登陆，用户体验是非常差的。如何解决呢？那就必须记录登陆状态，就用到session和cookie了。

3、session是什么？

session是服务端一个内存对象，是一个能被多个客户端请求共享的一个区域。

4、cookie是什么？

Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。
分暂时性cookie和永久性cookie。

4、验证身份的机制：

1、session和cookie认证。
（1）早期的MVC，登陆成功之后，创建session会产生SeeionId,自动响应回来放到客户端浏览器的Cookie中，下次请求，自动携带Cookie,然后从Cookie中解析出来SeeionId，找到对应的Session,这样就实现了Session被多个请求共享。过滤器只要判断Session中是否有登陆标志就可以了判断是否登陆了。
（2）对于暂时性cookie而言，当关闭浏览器之后，临时的cookie就没了，SessionId就无法携带了，也就无法找到之前的Session了，相当于找不到登陆标志了，所以需要再次登陆
2、Token。