cookie和session

Posted 2020-11-03 never-say-no

一：会话技术简介

1. 存储客户端的状态。例如：用户在商城上面购物，服务端如何针对不同的客户端进行信息的存储呢？访问的信息存放在哪里？因为http协议是无状态的，所以客户端访问服务器的时候服务器并不知道是哪个客户端，所以需要会话技术进行识别客户端的装态。说白了会话技术就是使服务器能够记住客户端的状态（区分客户端）。
2. 会话技术：浏览器打开访问其中的某个站点，直到浏览器关闭的整个过程，称为一次会话。会话技术就是记录客户端在这次会话中的数据和状态。会话技术分为cookie和session，session和cookie的作用都是为了保持客户端和服务端的交互状态。   

•   cookie：将服务端返回的响应信息以key/value的方式存储在客户端。减少服务端的压力，但是安全性不好，因为客户端可以删除 cookie信息。而且客户端存储cookie的大小不能超过4k，一台浏览器最多存储50个cookie，低版本的可能存储20个cookie。
•   session：恰恰和cookie相反。session是将数据存储在服务端，相对安全，但是增加了服务端的压力。主要用在解决服务器之间共享的问题　　

二：cookie技术

　cookie是将用户的信息保存在客户端的会话技术

　　创建cookie的条件：

• • cookie的name值不能和set-cookie中的属性值一样
  • cookie的name值和value的值不能为非Assic码。如果cookie中存在中文，需要使用URLEncode进行编码，否则程序运行会出现异常
  • cookie中的name和value的值出现Token字符（、, \\ 等），会将cookie中的version设置为1（cookie存在两个版本，版本0，版本1）。　　　　

1. 　服务端如何将cookie返回给客户端？

1. 创建cookie对象 :Cookie cookie = new Cookie(cookieName,cookieValue);cookie会以响应头（set-cookie）的方式返回给客户端

2. 设置cookie的过期时间：cookie.setMaxAge(毫秒值): 注意：如果不设置cookie的持久化时间，cookie信息会保存在浏览器的内存中，如果浏览器关闭，cookie就销毁（会话技术），如果设置过期时间，cookie信息会被持久化到浏览器磁盘文件中，直到cookie过期，cookie销毁。

3. 设置携带cookie的路径：setPath("/"); 如果不设置携带cookie的路径，那么访问创建cookie路径下的所有资源都会携带cookie信息。例如：创建的cookie路径是：/web应用/servlet1     ，那么访问 /web应用/servlet1 下的任何资源都会携带cookie

4. 将创建的cookie发送给客户端  ；　response.addCookie(cookie)；会在客户端响应该cookie　　　　　

　图解cookie的存储过程

 

　　　　　　

 

　三：session技术

• 为什么会有session？　　　　　

　　session出现的原因是：服务端返回给客户端的cookie过多，服务端和客户端的进行传输通信增加，影响性能，session的出现就是为了解决这一问题。在客户端域服务端进行交互的时候，不必要每次都返回cookie，只需要给客户端一个唯一标识的id即可（JSESSIONID），这个ID值就是name为JSESSIONID的cookie。

• 什么是session？

 

　　　session会话技术是存储在服务端的会话技术。客户端每次访问时，会在服务端创建一小块内存，用来保存客户端的信息，要求客户端携带JSESSOIONID去寻找属于自己的一小块内存。session需要借助cookie存储的JSESSIONID值。问题是：如果存储的session过多，造成服务端的压力过大，效率降低。

• 如何使用session？

　　1.获取session 

　　HttpSession session = request.getSession();

　　这句话是获得属于当前会话的session对象。如果该session对象已经存在，就直接返回；如果不存在，就会创建新的session对象返回（原理是：根据客户端携带的JSESSIONID寻找服务端是否有该session）

　　2.向session对象中存取数据

　　因为session是域对象，所有有通用的三个方法

　　session.setAttribute(String ,string)

　　session.getAttribute(String)

　　session. removeAttribute(String)

　　3.session对象的生命周期

　　创建：执行request.getSession()开始创建session对象

　　销毁：

　　（1）session过期，默认30分钟，

　　（2）在服务器（非正常）关闭时销毁。

 

 　　（3）手动销毁session：使用session.invalidate();

　　作用范围：默认在一次会话中，也即在一次会话中的所有资源共用一个session对象

　　浏览器关闭不等于session销毁！！！   因为session技术是基于cookie技术实现，重启浏览器在次访问原来的连接依然会创建新的session对象。因为cookie默认在浏览器关闭时消失，也就意味着JSESSIONID找不到了。但是原来的session对象还在服务端存储，只是再也找不到了（没有了JSESSIONID），只有等到session自动销毁。

　　图解session的存储过程

　　

 

总结：session和cookie都是为了保持（记录）用户的访问状态，一方面是为了业务功能的简单实现，另一方面是为了简化服务端程序设计。

分布式session：解决的是session共享的问题。例如在tomcat下有两个应用：web1和web2，访问web1会创建一个session对象session1，访问web2会创建session对象session2，在不同的应用中session是不共享的，要想解决session共享，就需要考虑使用分布式session解决。