如果客户端禁止 cookie 能实现 session 还能用吗？

　　一般默认情况下，在会话中，服务器存储 session 的 sessionid 是通过 cookie 存在浏览器里的。

　　如果浏览器禁用了 cookie，浏览器请求服务器无法携带 sessionid，服务器无法识别请求中的用户身份，session失效。

　　但可以通过其他方法在禁用 cookie 的情况下，可以继续使用session。

　　通过url重写，把 sessionid 作为参数追加的原 url 中，后续的浏览器与服务器交互中携带 sessionid 参数。

　　服务器的返回数据中包含 sessionid，浏览器发送请求时，携带 sessionid 参数。

　　通过 Http 协议其他 header 字段，服务器每次返回时设置该 header 字段信息，浏览器中 js 读取该 header 字段，请求服务器时，js设置携带该 header 字段。

　　cookie、session、token 三者之间的关系

　　1. session机制

　　session是服务端存储的一个对象，主要用来存储所有访问过该服务端的客户端的用户信息(也可以存储其他信息)，从而实现保持用户会话状态。但是服务器重启时，内存会被销毁，存储的用户信息也就消失了。

　　不同的用户访问服务端的时候会在session对象中存储键值对，“键”用来存储开启这个用户信息的“钥匙”，在登录成功后，“钥匙”通过cookie返回给客户端，客户端存储为sessionId记录在cookie中。当客户端再次访问时，会默认携带cookie中的sessionId来实现会话机制。

　　1.1 session是基于cookie的

　　cookie的数据4k左右;

　　cookie存储数据的格式：字符串key=value

　　cookie存储有效期：可以自行通过expires进行具体的日期设置，如果没设置，默认是关闭浏览器时失效。

　　cookie有效范围：当前域名下有效。所以session这种会话存储方式方式只适用于客户端代码和服务端代码运行在同一台服务器上(前后端项目协议、域名、端口号都一致，即在一个项目下)

　　1.2 session的持久化

　　用于解决重启服务器后session消失的问题。在数据库中存储session，而不是存储在内存中。通过包：express-mysql-session。

　　当客户端存储的cookie失效后，服务端的session不会立即销毁，会有一个延时，服务端会定期清理无效session，不会造成无效数据占用存储空间的问题。

　　2. token机制

　　该机制适用于前后端分离的项目(前后端代码运行在不同的服务器下)。

　　请求登录时，token和sessionid原理相同，是对key和key对应的用户信息进行加密后的加密字符，登录成功后，会在响应主体中将{token：“字符串”}返回给客户端。

　　客户端通过cookie都可以进行存储。再次请求时不会默认携带，需要在请求拦截器位置给请求头中添加认证字段Authorization携带token信息，服务器就可以通过token信息查找用户登录状态。

　　session的工作原理?

　　当客户端登录完成后，会在服务端产生一个session，此时服务端会将sessionid返回给客户端浏览器。客户端将sessionid储存在浏览器的cookie中，当用户再次登录时，会获得对应的sessionid，然后将sessionid发送到服务端请求登录，服务端在内存中找到对应的sessionid，完成登录，如果找不到，返回登录页面。

　　更多关于“Java培训”的问题，欢迎咨询千锋教育在线名师。千锋已有十余年的培训经验，课程大纲更科学更专业，有针对零基础的就业班，有针对想提升技术的好程序员班，高品质课程助力你实现java程序员梦想。