浏览器缓存之【身份与会话管理】：Cookies 和 Private state tokens

〇、前言

前文已经介绍了，单击查看全部系列文章：缓存Storage，那么本文再介绍另一新的类别：身份与会话管理。

身份与会话管理，涵盖 Cookies 和 Private state tokens。

• Cookies 是最早的客户端存储机制，每次请求都会自动携带，适合服务器端识别用户身份或维持会话；
• Private state tokens 是为替代第三方 Cookie 而设计的隐私保护方案，用于在不追踪用户的前提下验证用户行为（如：防欺诈），属于现代隐私沙盒的一部分。

下面来详细介绍下。

一、什么是 Cookies？

1.1 简介

Cookie 是服务器通过 HTTP 响应头发送至浏览器、存储在用户本地设备上的小型文本数据文件，主要用于识别用户身份、维持会话状态及记录用户偏好。其核心作用是解决 HTTP 协议的无状态特性，使网站能够“记住”用户行为。

三个特点：

• 数据形式：以键值对（如：username=John）存储的纯文本文件，仅能被创建它的服务器读取。
• 存储位置：由浏览器管理，不同浏览器路径不同（如：Chrome 存储在 Cookies 文件中），用户无法直接通过 JavaScript 修改非 HttpOnly 属性外的 Cookie 内容。
• 自动传输：浏览器在后续同域请求中自动将 Cookie 附加到 HTTP 请求头，服务器通过解析识别用户身份。

两种生命周期类型：

• 会话 Cookie：无明确过期时间，仅在浏览器会话期间有效（关闭浏览器后自动删除），常用于临时状态管理（如：购物车）。
• 持久 Cookie：通过 Max-Age 或 Expires 属性设置过期时间（如：7 天），关闭浏览器后仍长期有效，用于“记住登录”等场景。

实际上，Cookie 并非传统意义上的“缓存”（如：资源复用），而是会话状态管理工具，需谨慎处理敏感信息。用户可通过浏览器设置管理或删除 Cookie，但禁用必要 Cookie 可能导致部分功能失效。开发者应优先使用 HttpOnly + Secure + SameSite=Strict 组合，最大限度保障安全性。

1.2 按照功能可以分为三类：必要、功能、追踪

1）必要 Cookie（Essential / Strictly Necessary Cookies）

这个类别是网站正常运行的“基础设施”，也是网站提供用户明确要求的服务所绝对不可或缺的。

三个主要作用：

    会话管理：维持用户的登录状态，防止用户在浏览不同页面时被反复要求重新登录。
    安全与验证：防范跨站请求伪造（CSRF）攻击，验证用户身份，保障支付和表单提交的安全性。
    负载均衡：将用户的请求分配到不同的服务器，确保网站在高并发下的稳定性。

根据 GDPR（通用数据保护条例）等隐私法规，必要 Cookie 通常不需要获取用户的明确同意即可部署，但必须在隐私政策中向用户声明。

生命周期特点：绝大多数是会话级 Cookie（Session Cookie），在用户关闭浏览器后会自动删除，不会长期驻留。

2）功能 Cookie（Functional / Preference Cookies）

此类别旨在提升用户体验的“个性化记忆”，它们允许网站记住用户的选择和自定义设置。例如：

    界面偏好：记住用户选择的深色/浅色模式、字体大小、页面布局等。
    本地化设置：保存用户选择的语言、国家/地区、货币单位等，避免每次访问都要重新设置。
    多媒体与交互：例如记住视频播放器上次播放的进度，或保存用户在评论区输入的昵称。

由于涉及收集用户的个人偏好数据，通常需要事先获得用户的明确同意（Opt-in）。如果用户拒绝，网站仍应可用，但可能无法提供这些个性化便利。

生命周期特点：通常为持久性 Cookie（Persistent Cookie），会设定一个较长的过期时间（如：几个月或一年），以便用户下次访问时依然生效。

3）追踪 Cookie（Tracking / Marketing / Analytics Cookies）

此类别是商业变现与数据洞察的“探针”，主要用于分析用户行为、衡量广告效果或进行精准营销。

常见的分析方法有三种：

    数据分析（Analytics）：收集匿名或半匿名的统计数据，如页面访问量、停留时间、跳出率、用户点击热力图等，帮助网站优化内容和结构（如：Google Analytics）。
    广告定向（Targeting/Advertising）：记录用户的浏览历史和兴趣标签，构建用户画像，从而在用户访问其他网站时推送高度相关的个性化广告。
    归因分析（Attribution）：追踪用户是从哪个广告链接点击进入的，帮助广告主评估营销活动的投资回报率（ROI）。

传统的追踪 Cookie 多为第三方 Cookie（由广告网络或分析平台而非当前访问的网站设置）。随着隐私意识的觉醒和浏览器政策的变化（如：Safari 和 Firefox 已默认拦截，Chrome 正在逐步淘汰第三方 Cookie），这类 Cookie 的生存空间正在被大幅压缩，行业正逐渐转向隐私沙盒（Privacy Sandbox）等新技术。

追踪 Cookie 是隐私监管最严格的领域。包括浏览器在内的工具，必须通过醒目的 Cookie 弹窗获取用户的明确同意，且必须提供与“同意”同等便捷的“拒绝”选项。用户有权随时撤回同意并清除相关数据。

在实际的网站开发或隐私合规审查中，建议对这三类 Cookie 实行严格的分级管理：非必要不收集，收集必告知，追踪必授权。这不仅是法律合规的要求，也是建立用户信任、提升品牌声誉的关键。

1.3 按来源可以分两类：第一方、第三方

第一方 Cookie 就像是“店铺的私人助理”，只在本店为您服务，提升您的购物体验；而第三方 Cookie 则像是“尾随的陌生人”，跟着您穿梭于各个店铺，记录您的喜好并试图向您推销商品。

1）第一方 Cookie（First-Party Cookies）

此类 Cookie 指的是由用户当前正在访问的网站（即浏览器地址栏中显示的域名）直接创建和读取的数据文件。

主要用途是服务于网站的核心功能与用户体验。例如：保持用户的登录状态，无需在每次跳转页面时重新验证；保存电商购物车中的商品；记住用户的语言、主题偏好或界面设置。

第一方 Cookie 的数据仅在用户与当前网站之间传输，不会与其他网站共享，因此通常不被视为侵入式跟踪。

所有主流浏览器均默认允许第一方 Cookie 的运行，它们是维持现代互联网基础体验的必要技术。

2）第三方 Cookie（Third-Party Cookies）

由当前访问的网站域名之外的第三方（如：广告商、社交媒体插件、数据分析平台）设置的 Cookie。它们通常通过网页中嵌入的外部资源（如：