谈一谈session和cookie的区别，以及session的实现机制

Posted 2021-09-08 Java鱼仔

（一）为什么要有session和cookies

如今的网络通信方式采用的是http协议，而http协议是无状态的协议，因此一旦数据交换结束之后，客户端和服务器端的连接就断了。意味着你再发一条请求时，服务器是无法记住你的。因此必须引入一些机制来让客户端能记住服务器端。

Cookie：Cookie能把用户信息保存到本地，当需要发送请求时，客户端把个人信息通过Cookie一起发送给服务器端，服务器通过读取cookie就可以知道这次发送请求的人是谁。但是Cookie也有缺点，由于是存在本地的，那就免不了有信息泄露或者信息伪造的风险。并且浏览器还可以禁用Cookie。于是出现了Session。

Session：你可以把Session理解成存放在服务器端的“Cookie”，当然这种说法不是完全正确的，Session和Cookie在许多方面也有区别，这个会放到后面讲。使用session后，服务器端会建立一份客户端信息表。当客户端发送请求过来时，只需要查询是否有与之对应的session数据即可。

（二）Session是如何知道谁是谁？

最开始学习Session我也有这样一个问题，即使我知道服务器端存放了客户信息，但是Session是如何去判断发送请求的是哪个客户呢？多数容器通过Cookie来实现Session机制，简单来讲，Session生成之后，会在客户端的Cookie中也保存一份，使客户端和服务器端相对应。

（三）Session具体实现机制

1、当服务器端创建了一个HttpSession对象之后，会生成一个名为JSESSIONID的值，并返回给对应客户端的cookie中。

2、后续客户端再发送请求后，服务器端会先从cookie中获取到JSESSIONID的值，根据值找到对应的session。

3、如果没有JSESSIONID，就意味着互相不认识，重复第一步的操作。
这里生成JSESSIONID和读取JSESSIONID的动作WEB容器都会帮我们做的，不需要手动去写代码。

但是浏览器可以禁用cookie，这时候session也可以实现。

原理很简单，既然cookie中不让我存了，那我就直接存到连接地址后面，比如访问服务器后生成jsessionid=xxxxxxxxxxxxx，返回给服务器端时就在连接后加上这段值：

localhost:8080/index;jsessionid=xxxxxxxxxxxxx

这种方式在java中可通过response.encodeURL()方法或者response.encodeRedirectedURL()实现。

（四）Cookie和Session的区别

存储位置不同，Session存在服务器端，cookie存在客户端。
可保存的内容不同，Session可以保存任意对象，Cookie只能保存字符串。
生命周期不同，Session会随着会话的关闭而消失，而Cookie可以长期保存在本地。