Cookie 和 Session 是 Web 开发中状态管理的核心技术(HTTP 协议本身是无状态的),二者互补且常配合使用,以下结合实际项目场景详细说明它们的应用、区别、最佳实践,以及框架(Spring Boot)中的落地方式。

一、核心概念回顾

特性 Cookie Session
存储位置 客户端浏览器(本地文件/内存) 服务端(内存/Redis/Memcached)
存储大小 受限(通常4KB/个,总数≤20个) 无大小限制(受服务端资源约束)
安全性 易被篡改/窃取(前端可访问) 相对安全(仅服务端可访问)
有效期 可设置持久化(Expires/Max-Age) 默认随会话结束(关闭浏览器)失效
核心标识 无(可自定义键值) SessionID(通常存在Cookie中)

二、Cookie 的核心应用场景

Cookie 适合存储轻量、非敏感、客户端需要频繁读取的状态信息,核心场景如下:

1. 会话标识(SessionID 载体)

  • 场景:服务端创建 Session 后,将唯一的 SessionID 存入 Cookie(默认键名 JSESSIONID),客户端每次请求携带该 Cookie,服务端通过 SessionID 找到对应的 Session。
  • 示例:用户登录后,服务端生成 Session 存储用户信息,将 JSESSIONID=xxx 写入 Cookie,后续请求通过该 Cookie 关联用户会话。
  • 注意:可设置 HttpOnly=true 防止前端 JS 读取(避免 XSS 攻击),Secure=true 仅在 HTTPS 下传输,SameSite=Strict/Lax 防止 CSRF 攻击。

2. 记住登录状态(自动登录)

  • 场景:用户勾选“记住我”/“自动登录7天”,服务端生成持久化 Cookie(设置 Max-Age=60*60*24*7),存储加密后的用户标识(如 userId+token),下次用户访问时,服务端验证 Cookie 直接免登。
  • 最佳实践
    • 不存储明文密码/敏感信息,需对用户标识加密(如 HMAC 签名);
    • 设置较短有效期(如7-30天),并提供“退出登录”清除 Cookie 的功能。

3. 客户端个性化配置

  • 场景:存储用户在客户端的个性化偏好(无需同步到服务端),如:
    • 网站主题(深色/浅色模式)、语言(中文/英文);
    • 页面展示配置(每页显示条数、表格列排序);
    • 购物车临时数据(未登录用户,登录后同步到服务端)。
  • 示例:前端读取 theme=dark 的 Cookie,初始化页面样式;无需请求服务端,提升体验。

4. 营销/统计类场景

  • 场景
    • 广告追踪:存储用户广告点击标识,统计曝光/转化;
    • 首次访问提示:存储 first_visit=true,仅首次打开网站显示引导弹窗;
    • 限流防刷:存储客户端请求次数(如 req_count=5),限制高频请求(需服务端校验,防止篡改)。

5. 跨子域名共享状态

  • 场景:主站 xxx.com 和子站 shop.xxx.com 共享登录状态,设置 Cookie 的 Domain=.xxx.com,实现跨子域名访问。

三、Session 的核心应用场景

Session 适合存储敏感、临时、服务端管控的用户会话信息,核心场景如下:

1. 登录态核心存储

  • 场景:用户登录成功后,将敏感用户信息存入 Session(而非 Cookie),如:
    • 用户基本信息(userId、用户名、角色、权限);
    • 登录时间、登录IP、设备信息;
    • 临时权限(如验证码、未提交的表单数据)。
  • 示例:Spring Boot 中通过 HttpSession.setAttribute("user", loginUser) 存储,后续通过 session.getAttribute("user") 获取,验证用户是否登录、是否有操作权限。

2. 临时会话数据(单次请求/会话有效)

  • 场景:存储仅在当前会话有效、无需持久化的数据,如:
    • 表单提交的临时数据(如多步骤下单的中间信息);
    • 验证码(如短信/图形验证码,有效期5分钟,存储在 Session 避免前端篡改);
    • 页面跳转的临时提示(如“操作成功”的消息,显示后立即清除)。
  • 示例:用户填写注册表单(多步骤),每步数据存入 Session,最后一步统一提交;若用户关闭浏览器,Session 失效,数据自动清理。

3. 服务端会话管控

  • 场景:需要服务端主动控制会话生命周期的场景,如:
    • 强制下线:管理员可通过 SessionID 销毁指定用户的 Session,实现踢人;
    • 多端登录限制:限制同一账号仅允许1个设备登录,新登录时销毁旧 Session;
    • 会话超时:设置 Session 有效期(如30分钟无操作自动失效),防止长期未操作的会话泄露。

4. 分布式系统中的会话共享

  • 场景:微服务/集群部署时,Session 需脱离单机内存,存储在 Redis 等分布式缓存中,实现多节点共享。
  • 示例:Spring Boot 集成 spring-session-data-redis,将 Session 存入 Redis,用户请求分发到任意节点都能读取到会话信息。

四、Cookie + Session 配合使用的典型场景

大部分 Web 项目中,二者是“搭档”关系,核心流程:

1
2
3
1. 用户登录 → 服务端验证账号密码 → 创建 Session(存储用户信息)→ 生成 SessionID → 写入 Cookie(JSESSIONID=xxx);
2. 用户后续请求 → 浏览器自动携带 Cookie(JSESSIONID)→ 服务端通过 SessionID 查找 Session → 验证用户身份/权限;
3. 用户退出登录 → 服务端销毁 Session → 清除客户端 Cookie(JSESSIONID)。

典型业务场景

  • 电商系统:Session 存储用户登录态、购物车(登录后),Cookie 存储未登录购物车、页面偏好;
  • 后台管理系统:Session 存储用户权限、登录信息,Cookie 存储“记住登录”标识、菜单展开状态;
  • 支付系统:Session 存储支付订单临时信息、验证码,Cookie 存储支付渠道偏好。

五、框架落地(Spring Boot 示例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@GetMapping("/setCookie")
public String setCookie(HttpServletResponse response) {
    // 1. 存储 SessionID(框架自动处理,无需手动)
    // 2. 手动设置个性化 Cookie
    Cookie themeCookie = new Cookie("theme", "dark");
    themeCookie.setMaxAge(60*60*24*7); // 有效期7天
    themeCookie.setPath("/"); // 全站可访问
    themeCookie.setHttpOnly(false); // 前端可读取(用于主题切换)
    themeCookie.setSecure(true); // HTTPS下传输
    response.addCookie(themeCookie);
    return "Cookie 设置成功";
}

@GetMapping("/getCookie")
public String getCookie(@CookieValue(value = "theme", defaultValue = "light") String theme) {
    return "当前主题:" + theme;
}

2. Session 操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
@PostMapping("/login")
public String login(String username, String password, HttpSession session) {
    // 验证账号密码(省略)
    User user = new User(1L, username, "ADMIN");
    session.setAttribute("loginUser", user);
    session.setMaxInactiveInterval(1800); // 会话超时30分钟
    return "登录成功";
}

@GetMapping("/userInfo")
public User userInfo(HttpSession session) {
    User loginUser = (User) session.getAttribute("loginUser");
    if (loginUser == null) {
        throw new RuntimeException("未登录");
    }
    return loginUser;
}

@GetMapping("/logout")
public String logout(HttpSession session) {
    session.invalidate(); // 销毁Session
    return "退出成功";
}

3. 分布式 Session(Redis 共享)

1
2
3
4
5
6

<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>

1
2
3
4
5
6
7
8
# 配置
spring:
  session:
    store-type: redis
    timeout: 1800s # Session超时时间
  redis:
    host: localhost
    port: 6379

六、避坑指南(最佳实践)

  1. Cookie 不要存敏感信息:如密码、token(可存加密后的标识),开启 HttpOnly/Secure/SameSite
  2. Session 避免存大数据:仅存核心会话信息,大数据(如用户详情)查数据库/缓存;
  3. Session 超时合理设置:后台系统30分钟、支付系统5分钟,避免过长/过短;
  4. 禁用 Cookie 时的兼容:通过 URL 拼接 SessionID(如 xxx.com?JSESSIONID=xxx),但存在安全风险,仅作为兜底;
  5. 移动端适配:App 无 Cookie 概念,可将 SessionID 存入本地缓存(如 SharedPreferences),请求时放在 Header 中(如 Authorization: Bearer ${sessionId})。

总结

技术 核心适用场景 核心原则
Cookie 轻量、非敏感、客户端持久化状态 小数据、低安全、客户端可控
Session 敏感、临时、服务端管控的会话状态 核心登录态、服务端可控、安全

实际项目中,需根据“数据敏感度、存储大小、有效期、访问频率”选择:敏感数据优先放 Session,客户端个性化数据放 Cookie,二者配合实现完整的状态管理。