3分鐘簡述Session和Cookie

1. 說到session和就cookie就要說到一個http的問題，http的請求是無狀態的。意思就是用戶請求一次服務器，用戶下次再請求，服務器並不知道是你，仍然把你當作新的用戶。這樣就會造成用戶登陸後，但登陸狀態並不能保存，下次仍然認爲你未登錄。
2. 所以，爲了能夠記錄用戶狀態，就有了Session和Cookie。拿登陸來說，用戶請求服務器，它們之間建立Session(會話)，服務器驗證通過用戶登陸信息後，會爲用戶創建Session對象，有唯一的SessionId保存登錄狀態。之後服務器會把SessionId通過Cookie返回給客戶端，客戶端就會在下次請求，通過Cookie把這個SessionId攜帶上。服務器識別出有這個SessionId後驗證登陸狀態，就返回給用戶登陸之後的頁面。用戶可以進行登陸之後纔有的操作。
3. 通過上面講述應該很容易明白Session劫持了，在用戶使用不安全的網絡時。而黑客正是這個網絡的擁有者時，他就可以瞭解這個網絡下所有請求內容，當然用戶的Session也可以被黑客劫持，這樣就會造成黑客通過這個Session拿到服務器和用戶之間的Cookie，進行模擬用戶登陸，造成信息泄露。

最後，如果有什麼不正確的地方，歡迎指正。