Session-Cookie 认证是利用服务端的 Session（会话）和 浏览器（客户端） 的 Cookie 来实现的前后端通信认证模式。在理解这句话之前我们先简单了解下 什么是 Cookie 以及 什么是 Session ？

什么是 Cookie
众所周知，HTTP 是无状态的协议（对于事务处理没有记忆能力，每次客户端和服务端会话完成时，服务端不会保存任何会话信息）；所以为了让服务器区分不同的客户端，就必须主动的去维护一个状态，这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态可以通过 Cookie 去实现。

特点：
1.Cookie 存储在客户端，可随意篡改，不安全
2.有大小限制，最大为 4kb
3.有数量限制，一般一个浏览器对于一个网站只能存不超过 20 个 Cookie，浏览器一般只允许存放 300个 Cookie
4.Android 和 IOS 对 Cookie 支持性不好

5.Cookie 是不可跨域的，但是一级域名和二级域名是允许共享使用的（靠的是 domain）

什么是 Session
Session 的抽象概念是会话，是无状态协议通信过程中，为了实现中断/继续操作，将用户和服务器之间的交互进行的一种抽象；具体来说，是服务器生成的一种 Session 结构，可以通过多种方式保存，如内存、数据库、文件等，大型网站一般有专门的 Session 服务器集群来保存用户会话；

原理流程：
客户端： 用户向服务器首次发送请求；
服务器： 接收到数据并自动为该用户创建特定的 Session / Session ID，来标识用户并跟踪用户当前的会话过程；
客户端： 浏览器收到响应获取会话信息，并且会在下一次请求时带上 Session / Session ID；
服务器： 服务器提取后会与本地保存的 Session ID进行对比找到该特定用户的会话，进而获取会话状态；
至此客户端与服务器的通信变成有状态的通信；
特点：
1.Session 保存在服务器上；

2.通过服务器自带的加密协议进行；

与 Cookie 的差异：
安全性： Cookie 由于保存在客户端，可随意篡改，Session 则不同存储在服务器端，无法伪造，所以 Session 的安全性更高；
存取值的类型不同： Cookie 只支持字符串数据，Session 可以存任意数据类型；
有效期不同： Cookie 可设置为长时间保持，Session 一般失效时间较短；
存储大小不同： Cookie 保存的数据不能超过 4K；
看到这里可能就有同学想到了，Session-Cookie 是不是就是把 Session 存储在了客户端的 Cookie 中呢？Bingo，的确是这样的，我们接着往下看！

Session-Cookie 的认证流程图

Session-Cookie 认证步骤解析
客户端： 向服务器发送登录信息用户名/密码来请求登录校验；
服务器： 验证登录的信息，验证通过后自动创建 Session（将 Session 保存在内存中，也可以保存在 Redis 中），然后给这个 Session 生成一个唯一的标识字符串会话身份凭证 session_id(通常称为 sid)，并在响应头 Set-Cookie 中设置这个唯一标识符；
注：可以使用签名对 sid 进行加密处理，服务端会根据对应的 secret 密钥进行解密 （非必须步骤）
客户端： 收到服务器的响应后会解析响应头，并自动将 sid 保存在本地 Cookie 中，浏览器在下次 HTTP 请求时请求头会自动附带上该域名下的 Cookie 信息；
服务器： 接收客户端请求时会去解析请求头 Cookie 中的 sid，然后根据这个 sid 去找服务端保存的该客户端的 sid，然后判断该请求是否合法；

Session-Cookie 验证的优点
1.Cookie 简单易用
2.Session 数据存储在服务端，相较于 JWT 方便进行管理，也就是当用户登录和主动注销，只需要添加删除对应的 Session 就可以了，方便管理
只需要后端操作即可，前端可以无感等进行操作；
Session-Cookie 验证的缺点
1.依赖 Cookie，一旦用户在浏览器端禁用 Cookie，那么就 GG 思密达了；
2.非常不安全，Cookie 将数据暴露在浏览器中，增加了数据被盗的风险（容易被 CSRF 等攻击）；
3.Session 存储在服务端，增大了服务端的开销，用户量大的时候会大大降低服务器性能；

4.对移动端的支持性不友好；

Session-Cookie 验证使用场景
一般中大型的网站都适用（除了 APP 移动端）；
由于一般的 Session 需集中存储在内存服务器上（如 Redis），这样就会增加服务器的预算，所以预算不够请谨慎选择；
前端常用的 Session 库推荐
使用 express：express-session[1]
使用 koa：koa-session[2]