Session 和cookie机制详解

参考：

http://blog.csdn.net/fangaoxin/article/details/6952954/

http://blog.csdn.net/hjc1984117/article/details/53995816

http://www.cnblogs.com/woshimrf/p/5317776.html

一、session是什么？

　　1.sessio的来源：

　　浏览器打开一个网页，采用的是HTTP协议。HTTP协议是无状态的，即这一次请求和上一次请求是没有任何关联的。

　　这种无状态的好处是：响应速度快。

　　无状态存在的问题是：当我们希望请求的几个页面互相关联时，就会存在问题。

　　例如，在登录页面登录之后，其他页面也希望保持登录状态，但是不同的页面也是不同的请求，不同请求无关，因此无法单纯判断是否已经登录了。

　　因此，cookie技术出现了，可以解决这个问题。然而cookie是客户端技术，用户可见，可以随意修改，很不安全。

　　最后，session会话机制出现了。

　　2.session是什么？

　　在一次会话中，解决不同HTTP请求的关联问题，让他们产生联系，不同的页面都可以读取到全局的session的信息。session是服务器端技术，很好解决安全问题。

二、session 的创建，删除和存储。

　　2.1 session的创建

　　session是在服务器端程序运行中被创建的。创建的语句是HttpSession session=request.getSession().

　　session被创建的同时会生成一个唯一的sessionID。这个sessionID会被发送到客户端，写在cookie中。

　　当客户端再次发送请求时，会在请求头上加上这个sessionID。服务器收到请求之后会依据这个sessionID在内存找到这个全局session，再次使用。

　　注意：

　　1.这个sessionID是整个session机制的核心。

　　2.session的内容是被保存在服务器端的。被发送到客户端的只有sessionID。

　　3.sessionID的生成算法：随机数+时间+jvmid  (jvmid都是唯一的，因此sessionID一定是唯一的)

　　2.2 session的删除

　　session并不会因为关闭浏览器而被删除。

session生成之后，只要用户继续访问，服务器就会更新session最后被访问的时间，并维护该session。即用户的session活跃了一次。

　　为了防止内存溢出，服务器会把长时间没有活跃的session从内存中删除。这个时间就是session的超时时间。因此，超过了超时时间没有访问服务器，session就会被删除。

　　session被关闭的情况：

　　1.超时

　　2.调用方法HttpSession.invalidate()

　　3.程序关闭；

　　2.3 session的存储

　　session被存储在服务器端的内存中，不过也可以通过特殊的方式持久化管理。

　　如果session的内容过于复杂，当有大量用户访问的时候，就会容易导致内存溢出，因此session的内容应该尽量精简。

三、cookie是什么？

　　由于HTTP是无状态协议，服务器无法从网络连接上确定用户的身份。所以服务端给每个客户端一个标识（通行证）。

　　服务器通过该标识来确定客户端的身份。cookie实际上是一小段文本信息。

　　cookie的工作原理：

　　客户端向服务器端发送请求，服务器使用response向客户端颁发一个cookie。

　　客户端保存该cookie。当再次发送请求时，cookie被一同提交给服务器。

　　服务器检查该cookie，以此来辨认用户的状态。

 四、cookie的创建，删除，修改。

　　4.1 cookie的创建

　　　　Cookie cookie = new Cookie("username","helloweenvsfei");   // 新建Cookie

　　　　cookie.setMaxAge(60);                             // 设置生命周期为60秒，不能为负数

　　　　response.addCookie(cookie);                    // 讲该cookie颁发给客户端

　　4.2 cookie 的有效期

　　　　cookie.setMaxAge();

　　　　参数为正 ：多少时间之后cookie失效，并会被持久化到对应的cookie文件中。

　　　　参数为负： 为临时性cookie，不会被持久化到cookie文件中，只暂时被保存到浏览器内存中，

　　　　　　　　　浏览器关闭之后就会消失。

　　　　参数为零：表示删除该cookie。

　　4.2 cookie的删除

　　　　如果要删除某个Cookie，只需要新建一个同名的Cookie，并将maxAge设置为0，

　　　　并添加到response中覆盖原来的Cookie。

　　4.3 cookie 的修改

　　      如果要修改某个Cookie，只需要新建一个同名的Cookie，添加到response中覆盖原来的Cookie。

五、session和cookie的区别

　　1.session是在服务端记录客户端状态的机制。cookie是在客户端记录客户端状态的机制。

　　2.cookie数据存放在客户的浏览器上，session数据放在服务器上。

　　　session是在服务器端存放了“用户档案表”，客户来访，查客户的档案。

　　　cookie是给客户颁发通行证，客户来访，检查客户身上的通行证。

　　3.session更安全。

六、session和cookie的使用案例。

　　session：保持登录状态。

　　cookie ：统计网站用户访问量。 request.getCookie()获取客户端提交的所有Cookie。（以cookie[]数组形式返回）。

　　　　　　  永久登录。把用户名和密码保存在cookie中。下次访问时，和数据库比较。