直接使用cookie
也是可以追踪用户的, 但是不安全, 所以比较好的做法为, 在第一次登录以后, 往客户端发送一个 cookie
, cookie
里面的 value
设置为session_id
, 发送请求到服务器的时候, 服务器有一个 session
使用[session_id: username]
来验证发送过来的cookie
这样的好处是:
- 服务端可以使用 session 来跟踪用户
- 客户端用户登录一次以后由于被设置了 cookie, 下次可以免去登录
具体流程为: