cookie和session的区别和联系

cookie和session

session原理：

session是保存在服务器端，理论上是没有是没有限制，只要你的内存够大

浏览器第一次访问服务器时会创建一个session对象并返回一个JSESSIONID=ID的值，创建一个Cookie对象key为JSSIONID，value为ID的值，将这个Cookie写回浏览器。

浏览器在第二次访问服务器的时候携带Cookie信息JSESSIONID=ID的值，如果该JSESSIONID的session已经销毁，那么会重新创建一个新的session再返回一个新的JSESSIONID通过Cookie返回到浏览器

针对一个web项目，一个浏览器是共享一个session，如果有两个web项目部署在同一个服务器上，针对两个项目的session是不同的。如：你在tomcat上同时部署了两个web项目，分别是web1、web2。当你在一个浏览器上同时访问web1时创建的session是A1，访问web2时创建的session是A2。后面你再多次访问web1使用的session还是A1,多次访问web2时使用session就是A2。

session是基于cookie技术实现，重启浏览器后再次访问原有的连接依然会创建一个新的session。因为Cookie在关闭浏览器后就会消失，但是原来服务器的Session还在，只有等到了销毁的时间会自动销毁

如果浏览器端禁用了Cookie，那么每次访问都会创建一个新的Session，但是我们可以通过服务器端程序重写URL即可，如果页面多连接多，会增加不必要的工作量，

HttpSession

由于 HTTP 协议是无状态的协议，所以服务端需要记录用户的状态时，就需要用某种机制来识具体的用户，这个机制就是 Session。典型的场景比如购物车，当你点击下单按钮时，由于 HTTP 协议无状态，所以并不知道是哪个用户操作的，所以服务端要为特定的用户创建了特定的 Session，用用于标识这个用户，并且跟踪用户，这样才知道购物车里面有几本书。这个 Session 是保存在服务端的，有一个唯一标识。在服务端保存 Session 的方法很多，内存、数据库、文件都有。集群的时候也要考虑 Session 的转移，在大型的网站，一般会有专门的Session服务器集群，用来保存用户会话，这个时候 Session 信息都是放在内存的，使用一些缓存服务比如 Memcached 之类的来放 Session。

HttpSession 创建于服务器端，保存于服务器，维护于服务器端，而且每创建一个新的Session，服务器端都会分配一个唯一的ID，并且把这个ID保存到客户端的Cookie中，保存形式是以JSESSIONID作为key来保存的。

通过HttpServletRequest.getSession() 进行获得HttpSession对象，通过setAttribute()给会话赋值，可以通过invalidate()将其失效。

每一个HttpSession有一个唯一的标识SessionID，只要同一次打开的浏览器通过request获取到session都是同一个。

WEB容器默认的是用Cookie机制保存SessionID到客户端，并将此Cookie设置为关闭浏览器失效，Cookie名称为：JSESSIONID

每次请求通过读取Cookie中的SessionID获取相对应的Session会话

HttpSession的数据保存在服务器端，所以不要保存数据量耗资源很大的数据资源，必要时可以将属性移除或者设置为失效

HttpSession可以通过setMaxInactiveInterval()设置失效时间(秒)或者在web.xml中配置

HttpSession默认使用Cookie进行保存SessionID（key为JSESSIONID，value为SessionID），当客户端禁用了Cookie之后，可以通过URL重写的方式进行实现。

可以通过response.encodeURL(url) 进行实现

API对encodeURL的操作为，当浏览器支持Cookie时，url不做任何处理；当浏览器不支持或者禁用掉Cookie的时候，将会重写URL将SessionID拼接到访问地址后，

Cookie

Cookie和Session都是会话技术，但Cookie是运行在客户端。

Cookie有大小限制以及浏览器在存cookie的个数也有限制

Cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行攻击。

Cookies也是属于Session对象的一种。但有不同，Cookies不会占服务器资源，是存在客服端内存或者一个cookie的文本文件中；而“Session”则会占用服务器资源。所以，尽量不要使用Session，而使用Cookies。但是我们一般认为cookie是不可靠的，session是可靠地，但是目前很多著名的站点也都以来cookie。有时候为了解决禁用cookie后的页面处理，通常采用url重写技术，调用session中大量有用的方法从session中获取数据后置入页面。

閱讀更多 北漂壯小夥 的文章

關鍵字: 浏览器 技术 服务器时