Для чего один ресурс использует несколько файлов куки?

Question

[Ivanushka255]

Мне было интересно посмотреть на куки в самом браузере. Оказалось, что один сайт может использовать несколько файлов куки.

Вопрос: зачем несколько? В Википедии описан механизм того, как работает передача куки файлов:

• Сервер получает имя пользователя и пароль, проверяет их и, при их правильности, отправляет страницу успешного входа, прикрепив cookie с неким идентификатором сессии. 
  
• Каждый раз, когда пользователь запрашивает страницу с сервера, браузер автоматически отправляет cookie с идентификатором сессии серверу. Сервер проверяет идентификатор по своей базе идентификаторов и, при наличии в базе такого идентификатора, «узнаёт» пользователя.
  

Как видно из текста, пользователю достаточно иметь один файл куки, который будет содержать идентификатор сессии. По этому одному идентификатору сервер, к которому поступает запрос, "узнает" клиента и предоставляет ему всю нужную информацию - логины, пароли и т.д. Какая необходимость в нескольких файлах куки, и как следствие, нескольких идентификаторах сессии?

Comments

[WapSter]

Потому-что это хранилище данных и используется не только для авторизации.

[Ivanushka255]

WapSter, при разных куки, как я понимаю, используется разные идентификаторы сессии. Получается, что для того, чтобы "взять" информацию на сервере со всех этих куки, пользователь должен зайти несколько раз на сайт (задействовать несколько сессий)?

[Алексей Ярков]

Ivanushka255, ещё раз - куки это просто хранилище с ограниченными объёмом. Можно что угодно хранить, не только сессии.

Answer 1

[Saboteur]

Кроме идетификатора сессии можно хранить что угодно.
Например ID последнее сообщения, которое вы прочитали, и при следующем визите с вашего браузера можно показать вам новые, и не хранить это все в базе.
Да и вообще можно хранить кучу критичной или некритичной информации.

Comments

[Ivanushka255]

Не совсем понимаю. Неужели куки может передаваться без индентификатора сессии? Как я понял, индентификатор сессии является обязательным флагом. В MDN приведены в пример синтаксические конструкции, где везде присутствует <cookie-name>=<cookie-value> (этот параметр отвечает за id):

Set-Cookie: <cookie-name>=<cookie-value>
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly

[WapSter]

Ivanushka255, при чем тут вообще сессии? Это просто разновидность технологии для авторизации и проверки пользователя, с тем же успехом вообще не может быть никаких сессий, токенов и прочего. ЭТО ПРОСТО ХРАНИЛИЩЕ ИНФОРМАЦИИ, которое может передаваться от клиента к серверу и обратно.

[Saboteur]

Ivanushka255, Куки вообще не связаны с идентификатором сессии. Это просто Storage. Они привязаны к конкретному сайту.
В данном примере у вас просто сохраняется несколько переменных Expires, Max-Age, Domain, Path, Secure, HttpOnly - это просто разные переменные со значениями

Скажем так. Вы открываете сайт www.site.com/index.php и шлете ему информацию в виде www.site.com/index.php?Expires=20210101&Max-Age=5 и так далее.
Вот cookie именно так грубо говоря и делают. Видят что вы открываете сайт, к которому они привязаны и браузер автоматически добавляет их в каждый реквест на этот сайт.

Если сайт поддерживает авторизацию, то именно через cookie он и понимает, что вы - это тот пользователь, который залогинился. Если сайт не поддерживает авторизацию, он через cookie все равно может хранить какую-то информацию.

Например в интернет магазинах вы часто можете набрать корзину товаров, даже не регистрируясь на сайте. И при этом "сайт" может помнить вашу корзину, даже если вы закрыли браузер и перезашли. Но сессии же еще нет - вы же не логинились. Зависит, конечно, от реализации сайта.

[Ivanushka255]

Saboteur,

Но сессии же еще нет - вы же не логинились.

А разве сессия начинается, когда пользователь логинится?

Прочитав много статей в интернете на эту тему, я думал, что сессия начинается, кода сервер начинает "понимать", что все запросы исходят от одного клиента. А это, как я понял, происходит тогда, когда вместе с клиентским запросом серверу приходят куки с id сессии

То есть по сути, я так понял, что сессия - это просто очередное посещение сайта

[Saboteur]

во-первых сессии бывают разные.

1. TLS сессия, которая устанавливается для HTTPS, на уровне браузера и веб-сервера

2. Сессия на уровне приложения, которое крутится на этом веб сервере - это уже чисто заморочки этого приложения. Например хранить в cookie какой-то ID сессии или другие данные.

Сервер сам по себе не начнет понимать, что запросы исходят от одного клиента. Он должен создать какой-то идентификатор для этого клиента, и сперва проверять а не пришел ли клиент с уже существующим идентификатором.
То есть сессия это не нечто, скрытое в эфире. Это просто переменные, которые можно хранить в куках.