cookie的原理和安全机制（Cookie的工作原理与优缺点）

1）总的来看Cookie像是服务器发给浏览器的一张“会员卡”，浏览器每次向服务器发 送请求时都会带着这张“会员卡”，当服务器看到这张“会员卡”时就可以识别浏览器的身份。

实际上这个所谓的“会员卡”就是服务器发送的一个响应头：

2）如图Set-Cookie这个响应头就是服务器在向服务器发“会员卡”，这个响应头的名字是Set-Cookie，后边JSESSIONID=95A92EC1D7CCB4ADFC24584CB316382E和 Path=/Test_cookie，是两组键值对的结构就是服务器为这个“会员卡”设置的信息。浏览器收到该信息后就会将它保存到内存或硬盘中。

3）当浏览器再次向服务器发送请求时就会携带这个Cookie信息：

这是浏览器发送的请求报文，中间画红框的就是Cookie信息，这里可以理解为浏览器这次带着“会员卡”再次访问服务器。于是服务器就可以根据Cookie信息来判断浏览器的状态。

原理图如下：

优点：

• 通过良好的编程，控制保存在cookie中的session对象的大小。
• 通过加密和安全传输技术（SSL），减少cookie被破解的可能性。
• 只在cookie中存放不敏感数据，即使被盗也不会有重大损失。
• 控制cookie的生命期，使之不会永远有效。

缺点：

• Cookie数量和长度的限制。每个domain最多只能有20条cookie，每个cookie长度不能超过4KB，否则会被截掉。
• 安全性问题。如果cookie被人拦截了，那人就可以取得所有的session信息。
• 有些状态不可能保存在客户端.