关于 session 的理解不深入引发的思考？

先说你保存 session 的目的是什么，识别用户登录还是啥的

@otakustay 识别用户。

编号+key

@missqxy 对你来说用户的浏览器是客户端，所以客户端有 sessionid 通过 cookie 给你，你的服务里有 session 管理识别出用户
对第三方应用，你是客户端，实际的浏览器第三方是不感知的。所以你也要针对不同的用户，有一个与第三方服务打通的 sessionid，在调用第三方的时候通过 cookie 给过去，第三方有自己的 session 识别
但通常来说，第三方服务不会这样用 cookie 来做用户识别的，它肯定有其它的形式，比如 OAuth，你得研究一下第三方提供给你的接口

@otakustay 你可能不理解我的意思。我意思是说如果我保存 SESSION，那么 sessionid 是在用户的浏览器上，还是第三方应用上呢？还是其他答案啊

先考虑一下：有 sessionid 可以做什么，你是否希望第三方应用能以完全的用户权限访问你的服务器（以及相反）

session 是手段，关键是你的目的是什么，就上面的信息来说并没有说清楚。

如果你要识别第三方那边的回调对应的用户 session，那么你得想办法让第三方回调的时候带上用户 session id，比如回调 Url 里面放 session id，或者第三方如果支持自定义字段那么就放自定义字段里面

@momocraft 可以做验证用户信息。我不希望啊。我就是想知道如果我保存 session 后。sessionID 会在用户浏览器上还是第三方。