[web]深入理解Session和Cookie

一、理解Cookie

　　由于http是一种无状态的协议，当用户的一次访问结束后，后端的服务器就无法知道下一次来访问的请求是不是上一次的用户了。那么Cookie的作用就是用户通过http访问一个服务器时，这个服务器会将一些Key/Value属性返回给客户端浏览器，并且给这些数据加上一定的限制条件，在符合条件的情况下客户端下一请求再带着这些数据来访问服务器，那么这些数据又被完整的带回来了，此时服务器就可以根据这些数据判断是否是同一个用户访问了。

Cookie的属性项

属性项	简介
NAME=VALUE	存放键值对，需要注意的是这设置的NAME不能和其他属性项同名。
Expires	过期时间，过了设置的时间点后，Cookie就会失效
Domain	生成Cookie的域名，如"Domain=baidu.com"
Path	Cookie生成的路径，如path=/stu-manager
Secure	如果设置了这个属性，那么只有在ssh连接时才能回传Cookie

Cookie如何工作

　　Cookie是怎么加到Http的Header中的？当我们在程序使用HttpServletResponse.addCookie()后，在Tomcat容器中会将这个Cookie的信息往上传递，知道org.apache.catalina.connector.Response，调用方法addCookie，再次方法中又调用了 generateCookieString() 方法生成了关于的Cookie的字符串，再调用addHeader方法将Cookie信息写到响应头的，时序图如下：

源代码：

    public void addCookie(final Cookie cookie) {

        // Ignore any call from an included servlet
        if (included || isCommitted()) {
            return;
        }

        // 添加到 cookies列表中
        cookies.add(cookie);

        // 关于cookie信息的字符串
        String header = generateCookieString(cookie);
        //if we reached here, no exception, cookie is valid
        // the header name is Set-Cookie for both "old" and v.1 ( RFC2109 )
        // RFC2965 is not supported by browsers and the Servlet spec
        // asks for 2109.
        // 添加到响应头
        addHeader("Set-Cookie", header, getContext().getCookieProcessor().getCharset());
    }

使用Cookie的限制

　　Cookie是HTTP头中的一个字段，虽然HTTP本身对这个字段没有要求，但是Cookie最终是存放在浏览器中，所以不同浏览器对Cookie的限制虽然不同，但总是有限制的

二、理解Session

　　Cookie可以让服务端跟踪每个客户端的访问，但是每次客户端的访问都带着Cookie，如果访问量很大的时候，那么就会增加大量网络传输。而Session就是为解决这个问题的。客户端每次访问服务器时，不需要每次都回传一个完成的Cookie，只需要传一个ID。这个ID是客户端第一次访问服务器时随机生成的，唯一的。它包装在一个叫做JSESSIONID的Cookie中回传。（禁用Cookie时使用URL重写的方式回传）

Session如何工作

有了SessionID，我们就可以通过Request创建Session了。

三、Cookie的安全问题

　　Cookie和Session'都可以跟踪客户端的访问记录，但是他们的工作方式全然不同，Cookie将所有要保存的数据通过服务端传到客户端，客户端再将其保存到浏览器中，所以这些Cookie信息可以被我们看到，甚至可以修改，所以Cookie的安全级别并不高。但是Session的安全性就要高很多了，因为Session将数据存放在服务端，在客户端存储的只是一个SessionID而已。另外Session的大小虽然没有限制，但是它是存放在服务端的，从性能考虑，也不宜存放太多数据。