由 cookie 与 session 引起的思考

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2768 days ago, the information mentioned may be changed or developed.

之前在搜索 cookie 相关问题的时候，不时跳出来“ cookie 与 session 有什么不同”的问答跳出来，看了几篇问答，觉得很纳闷，比如第一句就是“ HTTP 请求本是无状态的”。
那么问题来了，HTTP 为什么是无状态的，HTTP 为什么不做成有状态的，HTTP 能不能做成有状态的，有没有不是 HTTP 却是有状态的？
现在的 google chrome 开始保存密码了，还有其他保存密码的服务？早干嘛去了?
早在 HTTP 之前，域名服务就出来了，为什么没有针对个人的 ID 验证协议，还有现在把加密服务带进了 HTTP，是不是歧视？后来引进各种措施是不是亡羊补牢。

我认为所谓的无状态 HTTP 协议和 ipv4 一样，是一种先天狭隘考虑不周的表现。之所以这样想是因为（警告：下文可能引起一些人不适）

----------------------------------------------------------------------------------------------------------------------------------------
大家知道，美国是没有身份证的，英国的身份证制度也是两立两废，国家有意建立身份证制度，但一些人很愤怒，巴拉巴拉，当然了也不是只有中国有身份证，非要用“先进老外”例子的话有德国以色列比利时等。

Supplement 1 · Oct 20, 2018

向大家道歉，ip 地址可以当作带状态的，如果可以的话，个人也可以申请域名系统证明自己，也正是因为老美有充足的 ip 可用，cookie 才能成为一个可选项，不像国内 ip 短缺，除了 cookie 真的没法区分客户了，而域名系统是要钱的。

不过现在，觉得个人验证系统大有可为啊，能不能让 HTTP 的 Cookie 把用户验证功能还给 HTTP 的 Authentication ？

Supplement 2 · Oct 20, 2018

第二次增加留言，由于刚发帖啊想的不太明白，吐槽不太准确，又被一帮人带偏了打口水仗，当我想明白的时候，这不全算 HTTP 和老美的锅，在明白了前因后果后，而我的最终想法很美好，属于展望式的，很难实现，算结帖吧。

Supplement 3 · Oct 20, 2018

新帖，统一个人网络身份认证设计思路，欢迎大家批评指正。
https://www.v2ex.com/t/499450

身份证

状态

Session

85 replies • 2018-10-22 09:26:06 +08:00

zhzer

Oct 19, 2018

tcp ftp 这些协议就是有状态的，天生就这么设计

http 设计成无状态的，自然就是因为当时 http 就是所有协议中的一支
本来就干它自己的事就行了，站在网关发发传单（游泳健身，了解一下
谁能想到，那群专家过早抽象过早优化，冗余太多别的协议用的场景越来越少

也就导致了 session cookie 的需求
https 同理

pinews

Oct 19, 2018

@zhzer 终于钓上一只鱼，可是没太理解我的意思，既然后来补上了 cookie，https，不如早点设计 http 身份证

opengps

Oct 19, 2018 via Android

这种问题太难解释，只能笼统回答一句～存在就有道理！

AlisaDestiny

Oct 19, 2018

同理，你可以说乔布斯考虑不周，为什么不在一开始就设计成现在的 iPhone X，而要从 iPhone1 开始。
任何东西都是从无到有一步步摸索过来的，想一步登天是不可能的。

fcten

Oct 19, 2018

HTTP 协议之所以是无状态的，是因为它被创造出来的时候，对于它所要解决的问题，无状态是最好的选择。而没有人能预料到几十年后它会这么流行。

历史唯物主义教育我们，评价一个事物，要结合当时的时代背景。所以秦始皇是先进的，袁 /世 /凯是落后的。

PulpFunction

Oct 19, 2018

谁能知道现在这么多人有电脑，居然还有爬虫啥的…

靠网络赚钱

天下大同就是想想

pinews

Oct 19, 2018

@opengps
@AlisaDestiny
@fcten 不是一步登天，而是现在的账号都被大公司垄断了啊，就像古代的农民被限制在一片土地上，无法自由的迁徙，就像局域网，如果有统一身份验证，所有的网站只需要同意接入，就不需要现在这么多的注册。

clino

Oct 19, 2018 via Android

没看到有状态的理由
你可以设想一下有状态是什么样的，web 服务器软件的复杂度会不会变高，注意不是说应用服务器

azh7138m

Oct 19, 2018 via Android

统一的数据管理谁来提供呢？
谁来决定一个公司可以看到多少你的数据呢？

lhx2008

Oct 19, 2018

有状态不一定是最优解，SSH 这种真的好吗？真的安全吗？状态能保存一年吗？还不是要一个本地保存的机制。

pinews

Oct 19, 2018

@clino 带了 cookie 就是有状态的其中一种啊，有什么麻烦的，不过 cookie 是网站发给浏览器的，大多时候，你都无法操控

pinews

Oct 19, 2018

@azh7138m 不是一个公司，而是一种协议，就叫个人名称验证服务协议吧（ Personal Name Systeam ）

rogwan

Oct 19, 2018 via Android

当时设计的 http 和 ipv4 明显看的出来，这就是一个实验室玩玩的，那知道以后会走出实验室，全世界的人都会用。除了那个牛逼的不得了的 god 之外，人类永远不会有“完美”的设计。

pinews

Oct 19, 2018

@rogwan 亡羊补牢啊，可是现在亡羊补牢不到点上，是我想法有问题，还是被利益集团垄断了？

0xABCD

Oct 19, 2018 via Android

早期的计算机是稀有物品，没想到飞入寻常百姓家了，所以早期的设计完全没错，只是不够完美。你这是站在上帝视角看待问题，看问题还是要看当时的背景和局限性。

AlisaDestiny

Oct 19, 2018

@pinews
在国外有呀，Google 账号就可以登陆大多数网站，但是在国内用不了。所以 QQ，wechat 就出来的。
5bGx5Lit5peg6ICB6JmO77yM54y05a2Q56ew6Zy4546L44CC

sagaxu

Oct 19, 2018 via Android

没有身份证，怎么证明你是你？驾照也是身份证的一种。发达国家也有户口，只不过不捆绑利益，可以随便迁移，登记一下就行。

Keller0

Oct 19, 2018 via Android

@rogwan 怎么看到他们是玩玩的，和军方搞合作能让你玩？

pinews

Oct 19, 2018

关于用户认证系统协议的设想

相比域名系统，个人用户验证明显不足，虽然引入 cookie 等，但复杂安全性差，且仅为网站与浏览器通信，个人能做的仅仅是在网站上填写资料，其实是网站霸权。现在如 chrome 以及 qq 微博支付宝一键登录，其实更是大网站超级霸权。对小网站也不公平。

客户端由操作系统和浏览器协同支持，由用户名，密码，安全码三部分组成，其中用户名如域名一般全球唯一。登陆后生成加密字符串，连接不同网站时，在生成不同的加密字符串，以此注册登录，服务器脚本和数据库由标准格式接入，只要网站支持用户验证系统，都可以一键接入，省力，免除网站霸权。

用户修改密码后，自动通知所有网站，修改加密字符串。

网站可以主动通知客户端。

可以多点登陆，可以单独修改网站加密字符串，可以解绑等。

loqixh

Oct 19, 2018

因为 http 设译用来做静态网页的, js 都是后面才有, 鬼知道后面会用来做这么多功能

Leigg

Oct 19, 2018 via iPhone

你得先想想 http 是什么时候提出来的，每项技术都有出生背景和作用场景

pinews

Oct 19, 2018

@sagaxu 我说的身份证就好比你开公司要营业执照一样，在需要联系你时，能找到你。还有驾照只是一种证件，不是在所有地方都能用。

pinews

Oct 19, 2018

@loqixh 你错了认证服务早就有了，不过都是网站单方面要求的。

pinews

Oct 19, 2018

现在的域名服务一年也不到 100 元，那些提供密码服务的，一个月就要 20 元。而且既不能一键接入，也不能相互通知。

azh7138m

Oct 19, 2018

@pinews 如同 OAuth，我们总是需要一个唯一 id 来标识一个账户，是必须要有公司提供集中的验证服务，这个公司谁来做？

MinQ

Oct 19, 2018 via Android

@pinews 美国社保账号了解一下？

momocraft

Oct 19, 2018

我比古人聰明系列

tsohgdivil

Oct 19, 2018 via iPhone

出现了，计算机科学中的民间科学家（或者说民进工程师？

iwtbauh

Oct 19, 2018 via Android

那么问题来了，HTTP 为什么是无状态的，HTTP 为什么不做成有状态的，HTTP 能不能做成有状态的，有没有不是 HTTP 却是有状态的？
回答：因为无状态最合适。

现在的 google chrome 开始保存密码了，还有其他保存密码的服务？早干嘛去了?
回答：保存密码是浏览器的一项功能，和 HTTP 协议没有半毛钱关系

早在 HTTP 之前，域名服务就出来了，为什么没有针对个人的 ID 验证协议，还有现在把加密服务带进了 HTTP，是不是歧视？后来引进各种措施是不是亡羊补牢。
回答：因为验证个人 ID 不需要专门开发新协议。现在的 HTTP 协议在这里： https://tools.ietf.org/html/rfc7540，你告诉我哪里“把加密服务带进了 HTTP ”了，歧视了什么，引进了什么措施。

wxsm

Oct 19, 2018

不知道是因为我的水平不够还是你的水平不够，我感觉你的话有点牛头不对马嘴。

lolizeppelin

Oct 20, 2018 via Android

HTTP 全名超文本协议最初用来打开文本的

对本地来说打开文本显示文本关闭文本 (不影响显示)
对 www 来说过程一样反馈到 tcp 上就是连接取数据关闭

这个过程是一次性的开几个页面就是多少个一次性行为所以说没状态

后面即使升级到了 http 1.1 这个原则也没变在协议层面一样是打开后就关闭的只是优化了 tcp 没真关连接而已

为了让你下一次请求和上一次请求关联起来
服务器和客户端都存一个可以互相匹配的玩意

这样绕着实现了有状态

至于周全当然不周全难道你想什么玩意一出来就周全的还是说直接推翻了重做啊

dobelee

Oct 20, 2018 via Android

这个明显事后诸葛亮了。

t6attack

Oct 20, 2018

互联网的发展，是一个探索未知的过程，而不是规范已知的过程。
这个过程充满了随机、巧合、独狼式的个人奋斗。

举个例子，万维网早期，只能显示和传输文字。1992 年，两名大学生觉得网页能显示图片会更有意思。于是两个人在计算机前奋战了 6 个星期。1993 年初，第一个能够显示图片的浏览器诞生，引发了轰动。两人中的一位，也因此被誉为“ Internet 点火人”。

在今天，你觉得浏览器能显示图片是理所当然。正是这些前人奋斗的结果。
你站在计算机大厦的楼顶上，觉得一切都很简单、一切都理所当然。以上帝视角往下看，觉得这里不好、那里不对。但如果没有这栋大厦，你连向下看的机会都没有。

t6attack

Oct 20, 2018

90 年代初的高配电脑是这样的。

没有百度、没有谷歌、没有教程文章，他们面对的是一片“虚无”和“未知”。
前辈们是用这样的配置，开创了一个伟大的互联网时代。

ooh

Oct 20, 2018

来来来，给你一枚铜币

yimity

Oct 20, 2018 via Android

人类一思考上帝就发笑。

rashawn

Oct 20, 2018 via iPhone

这种问题根本没有原因都是人决定的可能做决定的人他老婆每年都给老王生孩子他很生气来不及想其他问题了

zh826256645

Oct 20, 2018

@pinews 如果真的能做到你说的这样,或许地球已经被某个国家或者集团控制了.

pythonee

Oct 20, 2018 via iPhone

无状态不是一般的优秀

abcbuzhiming

Oct 20, 2018

美国没有身份证，但是人家驾照就相当于身份证

clino

Oct 20, 2018 via Android

@pinews 不是麻烦，而是限制死了做法不灵活
这部分应该由具体应用来定义，这样可以比较自由地发展

vindurriel

Oct 20, 2018 via iPhone

这其实是互联网身份认证的话题可是您的问题有考古学的倾向推荐看下这个 https://solid.inrupt.com/about solid 是互联网之父 Tim Bernes Lee 背书的新产品其中有身份认证的解决方案

Jex

Oct 20, 2018

刚学习 HTTP 的程序员有这种想法很正常，但是很多人也解释不清楚这个问题，为什么 HTTP 协议不一开始就设计成有状态 /带认证的特性？其实并不是楼主所说的「是一种先天狭隘考虑不周的表现」，恰恰相反，HTTP 协议有些功能是过度设计、考虑太多的结果！ HTTP 协议本身有身份验证功能，但因为缺乏可扩展性现在几乎没有网站使用：

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication

类似的，IPv6 报头也有比 IPv4 报头简单的地方，你只看到了 IPv6 多出来的特性，却没看到删减去的特性。如果你在一开始就过度设计，添加太多使用频率很低的功能，那就会使协议过于复杂，更加缺乏可扩展性，更加不能适应时代的变化。基于 Cookie 的身份验证方法可以很好地适应各种网站各种不同的需求，而且用处也不仅仅是身份认证，你却没有看到它的优点。你应该再看看网络洋葱结构图，理解一下「软件设计的正交性」，让你来设计一个检查用户输入是否合法的框架，你是设计成 checkInput(userInput:String,validators:[UserInput -> Bool])？让 Validator 可以是传入一个可扩展的检查函数参数？还是设计成 checkInput(userInput:String,validators:[StringValidatorName])，让 checkInput 方法内置一堆预定义的校验方法，只允许传入指定 Validator 的名称？

iceheart

Oct 20, 2018 via Android

http 协议是干啥用的？

zcore

Oct 20, 2018

个人见解，轻喷：
1、跟身份证没有关系。
2、为什么一开始考虑不到，因为预知未来是很难的事，就好比你现在在抱怨过去的人考虑不周，给现在的人造成麻烦，那有没有考虑过你现在的所作所为，会为未来的人造成什么麻烦呢？大多数人不会考虑或考虑很少，因为未来的人不会穿越到现在，把你打一顿说：“你设计的什么玩意”！即使你刻意考虑未来需求，你也无能为力：
2.1、未来可能性非常之多，即使后来证实你预测正确，也很难说是不是运气
2.2、你必须首先考虑当下的需求，满足了当下的需求你设计的东西才不会被淘汰，如果为了预测的不知道靠不靠谱的未来需求，导致当下弊大于利，你的东西会迅速被淘汰，后面所有的预测都将会毫无意义。
2.3、即使未来证明的你考虑的是合理的，想要让人们重拾你的设计，未来的人也必须考虑重要的一点——巨大的更换成本。ipv6 比 ipv4 先进早是板上钉钉的事，为什么 ipv6 推动这么慢？其中一个原因就是，把 ipv4 换成 ipv6 的更换成本要大于更换后的短期收益，只有随着时间的流逝，ipv4 越来越不中用，导致更换的短期收益水涨船高，或者新技术使更换成本骤降，越来越多的人才会行动起来。

所以，我现在不妨假设，楼主穿越回 http 设计之初的年代，设计了有状态的 fuckhttp 协议，并声称：“未来的人一定会后悔选择无状态的 http ！”但，有状态的 fuckhttp 比无状态的 http 慢，在哪个计算机性能底下的年代，用 http 的人看小黄片比用 fuckhttp 的人快了不止一星半点，fuckhttp 被无情淘汰，直到今天人们重新发现了 fuckhttp 的光辉，感慨楼主天妒英才。然而 fuckhttp 的推进依旧举步维艰，因为更换它需要重新设计基于 http 的一切上层建筑，巨大的更换成本与收益不成正比，没人厂家愿意牺牲自己让别人坐收渔利，何况 http 也有性价比更高的短期解决方案。
究竟 fuckhttp 最后能不能把 http fuck 掉？天知道！

pinews

Oct 20, 2018

@MinQ
@sagaxu
@abcbuzhiming 一个说社保，两个说驾照听谁的？

@iwtbauh 如果无状态最合适，何必引入半吊子 cookie，保存密码当然和现在的 HTTP 没关系，但是能不能有关系？有关系了是不是更好?验证个人 ID 不需要新协议，按你的意思上网都用 IP，不要用域名系统，既然有域名系统为什么没有个人验证系统？还有我说的是 https 也是由网站短发起的，个人没有任何控制力，以上不是歧视是什么？
@wxsm 你的高见？

@lolizeppelin 革先天不足之命而已，邮件系统比万维网早多了，http2 也支持双向通讯了

@azh7138m
@zh826256645 现在才是被控制了呢，163 邮箱不绑定手机不让改密码，微信还需要 2 个好友验证，还有支付宝 googlefacebook，他们都是有自身业务的，提供账号互联不过是有机可乘。用户根本不能自主控制。

iwtbauh

Oct 20, 2018 via Android

@pinews #46

我的意思是你完全思考错方向了。因为你说的“还有现在把加密服务带进了 HTTP，是不是歧视？后来引进各种措施是不是亡羊补牢” 根本就是错误的。

加密服务从来都没有被带进过 HTTP

iwtbauh

Oct 20, 2018 via Android

@pinews #46

然后，回答你为什么不能有关系。你这样设计会使软件过度复杂化，参考 OSI 为什么被 TCP/IP 打败。“七层 OSI 还不如七层玉米卷”。一个软件做一件事。

pinews

Oct 20, 2018

@vindurriel 感谢，可惜看不懂，不知能否介绍一二
@Jex 感谢，我记得 HTT 是带验证的，你证明了我的推测，好多地方设计的也不错，为什么没人用呢，能不能改进
@zcore 不想谈哲学和假设。

就说说比 http 早的 email 协议吧，你注册账户后，就可以给别人，所有人发信息，别人，所有人也可以给你发信息，而现在的注册用户全由网站控制，网站不一样，账户无任何关联，现在的 Oauth 同样对用户是不透明的，应该由互联网上的独立的协议与 http 结合，而不是由某一些公司控制。

pinews

Oct 20, 2018

@iwtbauh 我都说了 https 了，不知道你自言自语什么，你要觉的我说的不对，可以用“逻辑”反驳，还有不要拿 TCPOSI 狐假虎威，不能说明两者的联系，相当于什么也没说。

iwtbauh

Oct 20, 2018 via Android

@pinews #60

然而 HTTPS 不是 HTTP。HTTPS 也并没有修改 HTTP 本身。使 HTTP 具有加密能力。这正是协议的优美之处所在，这鼓励代码重用，其他协议也可以基于 TLS 而不是重复发明轮子，如果你把 TLS 该做的塞进 HTTP 那才是 ugly 和 loser。我觉得你的相关课程应该重修，或者语文应该重修。

两者最根本的联系是欧盟发明 OSI 是政治上害怕来自五角大楼的 TCP/IP。然而历史证明这是愚蠢的。我举此例就是要告诉你你这样设计会使软件过度复杂化，有问题么。

imn1

Oct 20, 2018

我娘生我的时候，都不知道现在的孙子上学也要查房产证
哦，那时还没房产证这东西，应该叫「无状态生育」

以你的思想水平，应该能想到 50 年后，电饭锅能做出认证每个人不同口味的饭来，不如你现在去创造这个协议
我们的水平达不到这个境界

D3EP

Oct 20, 2018

你怕不是想搞全球上网实名制？

pinews

Oct 20, 2018

@iwtbauh ftp 也用 DNS，http 在 URL 里用域名，是改变了还是没改变？按你说的，难道说我要推出 HTTP 支持个人用户认证系统协议就是要改变 HTTP，那确实，我要弥补他的不足。你说语文，我看你是“指马为鹿”。

你说的再高大上，复杂化不是你说了算。

iwtbauh

Oct 20, 2018 via Android

@pinews #54

你这楼就是在胡搅蛮缠了。DNS 和 FTP/HTTP 是独立的，DNS 改变 HTTP 协议了吗。任何基于 TCP/IP 的服务都可以使用 DNS。并不是把“域名解析”这个知识塞入了 HTTP 协议。

lz 基础知识问题不少，各种错误不断，我建议 lz 还是需要补充一下基础知识再来

pinews

Oct 20, 2018

@D3EP 有些相似，但有本质的不同，你不用为那么多网站疲于奔命，相反，所有网站都听你个人的。
@imn1 嘿嘿不一样，怎么知道你这房产证是真的假的，房产证丢了怎么办，情况应该是这样的，房产证出现的时候接入身份证，学校需要房产证，接入身份证，学校需要你的房产证，向身份证请求，身份证通知你，你同意权限，学校看到了房产证。

pinews

Oct 20, 2018

@iwtbauh 回到起点，你用 http 请求 v2ex，v2ex 把内容返回给了你，为什么返回给了你，没给别人？ http 真不知道谁是发起者？可是为什么做成无状态？网站不知道你是谁，所以网站强制启用了自己的会员系统，在你的电脑里留下一串串 cookie，本来你就是你，何必要网站标记，应该你留一些记录在服务器，然后还能完全掌控这一些记录，如果 http 把你当成是你还有这么多麻烦？对 HTTP 来说，强制你成了隐身人。

Jex

Oct 20, 2018

@pinews 我都解释到这份上了，你应该学会自己思考

heixiaobai

Oct 20, 2018

看下来有点搞不懂楼主你想说啥……
你是想说希望 HTTP 访问时是有带上每个人的唯一标识符的么？

heixiaobai

Oct 20, 2018

@pinews #57 先不提其他，请教一下。如何把我的记录"留在服务器的磁盘上",而且我还能掌控？

pinews

Oct 20, 2018

@HeiXiaoBai 基本上这个意思，但怕有人误解，是因为你这个人存在，你是唯一的，才产生唯一标识符，你不是像犯人一样给你一个编号你才存在，这个唯一标识符和相应的网站 ID 都只有你才能控制，就像域名一样。

iwtbauh

Oct 20, 2018 via Android

@pinews

我一直没和你讨论无状态的问题，我主要给你指出了你的以下几点错误：
1. 加密服务从来都没有被带进过 HTTP
已经从这一点引发的
2. 为什么 HTTPS 没有改变 HTTP，为什么需要把 TLS 单独出来而不是塞进 HTTP 里面
3. DNS 与 TCP/IP 应用程序的关系

无状态的原因其他人解释的很详细了，例如性能问题

pinews

Oct 20, 2018

@HeiXiaoBai 域名和邮箱邮件还是由服务器控制呢，你说你怎么掌控，当然是协议，任何联系方式都不存在服务器上，都必须服务器发送请求你的系统，由你的系统发出。

heixiaobai

Oct 20, 2018 via Android

@pinews # 63
嗯，我赞同楼上大家的意见，楼主确实需要多看书

imn1

Oct 20, 2018

@pinews #56
我娘生我的时候，也没身份证这东西，看来我们革命先烈也比不上你，建国时就该想到身份证这东西

协议跟真假有什么关系？协议不管劫持啊
协议跟丢数据有什么关系？协议不管网线质量啊

其实你说到点子上了，传输协议就管传输，管什么认证呢？
http 是传输协议，不是认证协议，不能把传输和认证一体化

更重要一点是，人类社会是需求推动的，发明创造不会先于需求诞生
基于上一点，更深一步说，市场是适应广泛需求，并非单一个体的需求就能改变市场
有些发明创造，先于市场出现数十年，是因为没有广泛需求，而不是没人想到

你原帖所说的各种认证、密码保存，是产生在互联网个人服务上的，早期没有这些服务就无需认证
我可以告诉你，早在 google 前十多二十年就有密码保存工具，为何你现在才知道，因为那时没这个广泛需求
你是否觉得，地球上出现枪支的时候，就应该同时有个人枪械登记制度？

不能从现状反推起源的合理性，这是本末倒置

JamesMackerel

Oct 20, 2018 via iPhone

第一次见到计算机民科，开眼受教了。

imn1

Oct 20, 2018

没用过贺氏（现在连输入法都没这个词了） 14.4 的人，是不会理解网页放一张小图片就要流量警告的，更别提带上 cookie，4KB 的 cookies 要 30 秒才能传完呢，就这情况，还是 HTTP 协议诞生好多年后的状况呢

MinQ

Oct 20, 2018 via Android

@pinews 在美国驾照是可以当身份证用的，上面有照片姓名年龄之类的信息，如果没有驾照需要申请成人身份证。而社会安全卡上的社保账号更接近于国内的身份证号，每个人一生只能有一个号码，社会安全卡在银行开户，缴税等地方需要用到

noaccounthere

Oct 20, 2018

靠自己控制...厉害厉害, 用户名重复问题谁来解决? 给每个人分配一个 uuid? 哪个组织来分配?这不还是被控制了嘛

pinews

Oct 20, 2018

@imn1 感谢，一语惊醒梦中人，被某些人带偏的我终于被你带回来了，因为 HTTP 是无状态的，后来才把 COOKIE 赛了进去验证，这才是把传输和验证搞混了，这才是把简单的东西搞复杂了，如果 HTTP 本身就是有状态的，根本没这么多麻烦事。

@MinQ
用身份证打比喻是我巨大的失误，以至于后来出现各种 bug，我的本意是你在现实中是唯一存在的，其实不需要驾照，社保号，甚至身份证号的，你去小饭馆吃饭，也不用出示什么证件，也不用办理会员，因为你的存在本身证明了你，但是在网络上，我们全成了隐身人，上网站就需要注册会员，一些网站用你注册过的 email，qq，支付宝账号来证明你的存在就像你在现实中用驾照，社保号，身份证号来证明自己一样，除此之外你没法证明自己。换言之，网络里本来应该有一个东西代表你就是现实生活中的你一样，不止 HTTP，任何需要账号密码的地方都可以用这个东西代表你就是你，这个和网络实名或者身份证号不一样，他是用来代表真的就是你，你完全掌握这个东西，不再需要别人签发编号给你。互联网所有东西都应该通过这个代表你的东西连接，任何连个东西连接都要经过你的同意，而不是你在网站里填写了电话，他就能打你电话，填写了 email，他就给你发送 email，email，电话，qq，支付宝，微博，都有代表你的东西连接，而不是他们直接连接。

@noaccounthere 就像和域名。

clino

Oct 20, 2018

感觉楼主是对软件分层不理解,按楼主的想法,把带状态的 http 协议直接塞到新版 TCP 协议里岂不是更方便?为什么不在 TCP 里直接考虑到这些需求并直接支持而是要多这么些个上层协议呢?

pinews

Oct 20, 2018

@clino 有些话我还没说，不过你可以像域名系统，你上网还是输入 ip 地址上网吗？ ipv4 40 多亿 ip，如果多一点，一个人就好多 ip，还真可以把一个常用 ip 当成自己。

clino

Oct 20, 2018

@pinews 没理解你想说什么

laike9m

Oct 20, 2018 via Android

你那个统一密码的设计，如果是强制的，会很可怕

youxiachai

Oct 20, 2018

老实说...http 协议本身为啥要管验证....
而且..lz 明显也是搞混了..https..也算不上带认证了啊.....
你的所有逻辑其实都是处于业务层....
你做的你业务..为啥要在协议层就行修改呢?
无论是 cookie 还是 session 都是一些业务逻辑的不错...跟协议本身本来就不应该挂钩

老实说,,你应该专注的是业务逻辑...不要吧 http 引入进来....

youxiachai

Oct 20, 2018

至于,lz 你的想法....早就有公司在做了..例如 Okta 了解一下...
本质上.lz 想说的是 IAM 服务系统吧...

heixiaobai

Oct 20, 2018

@pinews 正是现在互联网上我们每个人都是隐身人，我们才能在一定程度上保留自己的隐私，而不是即使你无痕访问，服务器还是一瞬间就知道了你是谁，知道了你访问过他

pinews

Oct 20, 2018

@youxiachai http 协议本身为啥要管验证，是不应该要啊，但是现实就是大家在用 Cookie 来做验证啊，Cookie 正是 HTT 的一部分啊，你说验证属于业务层，现状当然是这样，但本来验证应该和传输是平行的关系的，由 HTTP 支持平行的验证协议。所有网站由统一的验证管理，不应该在 HTTP 之下用 Cookie 做业务逻辑，也不应该每个网站做一个业务逻辑。

@laike9m
@youxiachai
@HeiXiaoBai 不是，现在是网站统一管理用户，你们也是这样想，我的意思是由个人来管理所有网站，主动权全在个人手里，而不是网站啊，就像 1password 来管理其他网站密码一样，当然了这是个比喻，因为 1password 是在现有的模式下运行的，而我是将其提高与 http 平行的协议层面来说的，就像域名系统一样。

我之前的观点被一些人带偏了啊，请看我上面最新的总结。

pinews

Oct 20, 2018

@t6attack 这么老的图也有，暴露年龄了啊

lscho

Oct 20, 2018 via Android

看来楼主基础知识甚为缺乏。。。http 是基于 tcp 的，也就是说设计之初是可以有状态的，但是对于 http 的应用场景来说，有状态的设计几乎没有优点，缺点一大堆。正是因为这样，才设计为无状态。。。。可以思考一下，现在的 web 应用，除了登录状态需要保持，其他的哪里需要？为了这个可以随手就解决的问题(cookie)，去修改协议，真的有必要吗？

pinews

Oct 20, 2018

@lscho 对啊注册登陆找回密码申诉盗号支付都是随手可以解决的小问题，网站才是老大，客户只是屁民。

dacapoday

Oct 20, 2018

看问题太片面，太拘泥于具体业务了。半瓶水晃荡

lscho

Oct 20, 2018 via Android

@pinews 所以说你基础知识甚为缺乏。。注册登录申诉盗号支付这都是业务问题，要么是程序不够稳健，要么是业务有问题。和协议没有半点关系

wly19960911

Oct 20, 2018

@pinews #78 服务行业敢说这样的话还真的不想要客户了？店大欺客系列？

passerbytiny

Oct 22, 2018

我觉得这贴可以停了，跟这种抛开历史背景和技术谈理论的产品经理，完全没必要讨论。

先普及一个名词：
HTTP：HyperText Transfer Protocol 超文本传输协议