Session与Cookie_aession与cik-CSDN博客

本文链接：https://blog.csdn.net/hlk_1135/article/details/54552442

本文详细解释了Cookie与Session这两种常用会话跟踪技术的工作原理及应用。Cookie机制通过客户端存储简单的键值对实现状态保持；Session则通过服务器端存储更复杂的状态信息，并利用唯一ID进行跟踪。文中还探讨了它们的生命周期、限制以及如何在Java环境中实现。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Cookie与Session都是为了保持用户与后端服务器访问的连续交互状态，是一种常用的会话跟踪技术。两者有着各自的优点，但是也有着各自的缺陷。

1、理解Cookie

1.1、Cookie机制

由于HTTP协议是一种无状态的协议，用户一次请求结束后，数据交换完毕，客户端与服务器之间的连接就会关闭，无法知道下一次访问的用户是否还是上次访问的用户，再次交换数据需要建立新的连接，这就意味着服务器无法从连接上跟踪会话。

Cookie的作用就是用户通过HTTP访问一个服务器时，服务器会将一些Key/Value键值对返回给客户端浏览器，并给这些数据加上一些限制条件，在条件符合时用户下次访问这个服务器时，数据又被完整地带回到了服务器。相当于给客户端们颁发了一个通行证，每人一个，无论谁访问，都必须携带自己的通行证，这样服务器就能通过通信证辨别用户。

1.2、Cookie如何工作？

Java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的所有Cookie（以Cookie[]数组形式返回），通过response.addCookie(Cookiecookie)向客户端设置Cookie。

Cookie对象使用key-value属性对的形式保存用户状态，一个Cookie对象保存一个属性对，一个request或者response同时使用多个Cookie。

我们用如下方式创建Cookie：

public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
	Cookie[] cookies = request.getCookies();
	String userName = getCookie(cookies, "userName");
	String userAge = getCookie(cookies,"userAge");
	if(userName == null) {
		response.addCookie(new Cookie("userName","zhangsan"));
	}
	if(userAge == null) {
		response.addCookie(new Cookie("userAge","20"));
	}
	response.getHeader("Set-Cookie");
}

private String getCookie(Cookie[] cookies, String key) {
	if(cookies != null) {
		for(Cookie cookie : cookies) {
			if(cookie.getName().equals(key)) {
				return cookie.getValue();
			}
		}
	}
	return null;
}

1.３、Cookie限制

Cookie是不可跨域名的，即域名不一样，不能互相操作彼此的 Cookie 。

Cookie最终存储在浏览器中。

２、理解Session

前面介绍了 Cookie可以让服务端程序跟踪每个客户端的访问，但是每次客户端的访问都必须传回这些 Cookie，如果 Cookie很多，则无形的增加了客户端与服务器的数据传输量，而Session的出现正是解决了这个问题。

同一个客户端每次和服务端交互时，不需要每次都传回所有的Cookie值，而是只要传回一个ID ，这个ID是客户端第一次访问服务器时生成的，而且每个客户端是唯一的。这样每个客户端就有了一个唯一的ID，客户端只要传回这个ID就行了，这个ID就是一个Cookie。

Session工作时序图

2.1、Session如何基于Cookie来工作

１）基于URL Path Parameter，默认支持。

２）基于 Cookie，如果没有修改Context容器的 Cookies标识，则默认也是支持的。

３）基于SSL，默认不支持，只有connector.getAttribute("SSLEnabled")为TRUE时才支持。

2.2、Session的生命周期

Session保存在服务器端。为了获得更高的存取速度，服务器一般把Session放在内存里。每个用户都
会有一个独立的Session。如果Session内容过于复杂，当大量客户访问服务器时可能会导致内存溢出。因
此，Session里的信息应该尽量精简。
Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创
建Session，只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session，也可以使用request.getSession(true)强制生成Session。
Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。
用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。

2.3、Session的有效期

由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时
间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服
务器，Session就自动失效了。
Session的超时时间为maxInactiveInterval属性，可以通过对应的getMaxInactiveInterval()获取，
通过setMaxInactiveInterval(longinterval)修改。
Session的超时时间也可以在web.xml中修改。另外，通过调用Session的invalidate()方法可以使
Session失效。

参考书籍：《深入分析Java Web技术内幕》

参考博文：http://blog.csdn.net/fangaoxin/article/details/6952954#comments