面试题:cook和session

1、首先，Cookie与Session存在的目的是什么？

答：二者都是为了保持客户端访问用户与后台服务器的交互状态，之所以为了保持这种状态，一是为了方便一些业务的实现，另一方面就是为了简化后台服务端的程序设计，提高性能。

2、如何理解Cookie？

答：我理解的Cookie，就是服务器端用来区分访问用户的，一个用户发出HTTP请求，服务端判断这个用户是不是第一次访问，如果是新用户，那么就得先登记，然后把这个用户的一些信息用Key-Value键值对的形式保存起来，通过HTTP响应让用户带回客户端，让用户保存着，下次访问时，捎带着把信息也带过来，一看是老熟人，后台就不用登记直接处理业务了，方便而有效率。

3、如何理解Session？

答：Cookie是保存在客户端的，而客户端保存Cookie是有数量和大小限制的，那我们就想，服务器端信息是可以保存很多很多的，这就有了Session。

我们在新客户访问时，就可以把信息登记然后保存在服务器，给用户一个唯一的信息标识就好了（一般是一个NAME为JSESSIONID的Cookie），下次用户访问的时候，只需要出示信息标识，后台就可以把他其他信息全部取出来（也就是把Session取出来），然后进行业务就好，防止了信息的篡改丢失等问题，而且没有容量限制。

4、Session如何基于Cookie工作？

答：刚刚说道对Session的理解时，提到一个Session的标识（一般是一个NAME为JSESSIONID的Cookie），这个标识一般是用Cookie保存在客户端用来维持Session的，但这是Cookie允许被使用的情况，如果Cookie被禁用，将会默认使用URL Parameter实现。

具体实现流程：
a、客户端第一次发出请求，因为服务端并不知道Cookie是否可用，所以服务端准备一个测试用的NAME为JSESSIONID的Cookie作为客户Session的标识，并将HTTP响应中的URL参数改写，在尾部加上JSESSIONID，返回响应。
b、客户端再次发出请求时，就会包含Cookie是否可用的信息，如果可用，则优先使用Cookie保存JSESSIONID，并会覆盖URL中的ID，如不可用，就用URL Parameter改写的方式实现JSESSIONID的传递，以维持Session。
c、当浏览器关闭或Session过期后，Cookie也就失效了。

5、如何配置SessionCookieName?
答：默认的SessionCookieName就是JSESSIONID，我们可以在web.xml中配置session-config项，其中cookie-config下的name属性就是这个SessionCookieName，可以由用户自己定义。

6、Session如何工作？

答：在通过问题4中的方法获得Session标识后，就可以通过request.getSession()获得HttpSession对象了，如果这个Session标识没有对应HttpSession时，那么就创建一个新的。

那么由谁管理HttpSession对象？

表面上，所有的HttpSession就会被加入到org.apache.catalina.Manager的sessions容器中保存，这个Manager类会管理所有Session的生命周期。Session过期了会被回收。

更具体的是，StandardManager是Manager的实现类，对应的，StandardSession是HttpSession的实现类；StandardManager类负责Servlet容器中所有StandardSession对象的生命周期的管理。

如果Session没有过期，而服务器关闭了，Session还会存在吗？

只要是正常关闭服务器，在关闭之前，StandardManager会把所有没有过期的StandardSession持久化到一个名为“SESSION.ser”的文件中，当Servlet重启时，StandardManager初始化，会重新读取这个文件解析出所有Session对象，重新保存在StandardManager中的sessions集合中，session恢复。

但是，当非正常关闭服务器时，是没有时间持久化Session的，就会导致Session丢失。

7、Cookie与Session有何缺陷？

任何事情都有两面性，他们的存在也带来了一些挑战，如Cookie的容量问题（大小、数量限制）、安全问题（易被篡改）、Session的服务器共享问题。