session、cookie、redis、session共享

session:

             Session:在计算机中，尤其是在网络应用中，称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时，如果该用户还没有会话，则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后，服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。session其实是一个特定的时间概念，从进入网站到关闭浏览器所经过的这段时间，也就是用户浏览这个网站所花费的时间。

           ♦  session通常用来：

        Session 的作用就是它在 Web服务器上保持用户的状态信息供在任何时间从任何设备上的页面进行访问。因为浏览器不需要存储任何这种信息，所以可以使用任何浏览器，即使是像 Pad 或手机这样的浏览器设备。

      ♦在JSP页面中

       Jsp的session是使用bean的一个生存期限,一般为page,session意思是在这个用户没有离开网站之前一直有效，如果无法判断用户何时离开，一般依据系统设定，tomcat中设定为30分钟.

     ♦ 联系：

       hibernet：

      Session是JAVA应用程序和Hibernate进行交互时使用的主要接口，它也是持久化操作核心API，注意这里的Session的含义，它与传统意思上web层的HttpSession并没有关系，Hibernate Session之于Hibernate，相当于JDBC Connection相对与JDBC。

      Session对象是有生命周期的，它以Transaction对象的事务开始和结束边界。

     Session作为贯穿Hibernate的持久化管理器核心，提供了众多的持久化的方法，如save(),update,delete,find(Hibernate 3中已经取消了此方法，)等，通过这些方法我们可以透明的完成对象的增删改查（CRUD-- create read update delete），这里所谓的透明是指，Session在读取，创建和删除映射的实体对象的实例时，这一系列的操作将被转换为对数据库表中数据的增加，修改，查询和删除操作。

       Session有以下的特点：

1,不是线程安全的，应该避免多个线程共享同一个Session实例

2,Session实例是轻量级的，所谓轻量级：是指他的创建和删除不需要消耗太多资源

3,Session对象内部有一个缓存，被称为Hibernate第一缓存，他存放被当前工作单元中加载的对象，每个Session实例都有自己的缓存。

 cookie

          Cookie，有时也用其复数形式 cookies，指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据（通常经过加密）。Cookie 技术诞生以来，它就成了广大网络用户和 Web 开发人员争论的一个焦点。有一些网络用户，甚至包括一些资深的 Web 专家也对它的产生和推广感到不满，这并不是因为 Cookie 技术的功能太弱或其他技术性能上的原因，而是因为 Cookie 的使用对网络用户的隐私构成了危害。因为 Cookie 是由 Web 服务器保存在用户浏览器上的小文本文件，它包含有关用户的信息.

          在 Internet 中，Cookie 实际上是指小量信息，是由 Web 服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理

         Cookie 在计算机中是个存储在浏览器目录中的文本文件，当浏览器运行时，存储在 RAM 中发挥作用 （此种 Cookies 称作 Session Cookies），一旦用户从该网站或服务器退出，Cookie 可存储在用户本地的硬盘上 （此种 Cookies 称作 Persistent Cookies）.通常情况下，当用户结束浏览器会话时，系统将终止所有的 Cookie。当 Web 服务器创建了Cookies 后，只要在其有效期内，当用户访问同一个 Web 服务器时，浏览器首先要检查本地的Cookies，并将其原样发送给 Web 服务器。这种状态信息称作“Persistent Client State HTTP Cookie” ，简称为 Cookies

        特点:

       在同一个页面中设置 Cookie，实际上是按从后往前的顺序进行的。如果要先删除一个 Cookie，再写入一个 Cookie，则必须先写写入语句，再写删除语句，否则会出现错误。

      

       用途：

       服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

      其他还有根据你的行为习惯，还进行个性化的定制。

     周期：

     Cookie可以保持登录信息到用户下次与服务器的会话，换句话说，下次访问同一网站时，用户会发现不必输入用户名和密码就已经登录了（当然，不排除用户手工删除Cookie）。而还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。

 

     建议：

   

      建议开发人员在向客户端 Cookie 输出敏感的内容时（譬如：该内容能识别用户身份）：

       1）设置该 Cookie 不能被脚本读取，这样在一定程度上解决上述问题。
　　2）对 Cookie 内容进行加密，在加密前嵌入时间戳，保证每次加密后的密文都不一样（并且可以防止消息重放）。
　　3）客户端请求时，每次或定时更新 Cookie 内容（即：基于第2小条，重新加密）
　　4）每次向 Cookie 写入时间戳，数据库需要记录最后一次时间戳（防止 Cookie 篡改，或重放攻击）。
　　5）客户端提交 Cookie 时，先解密然后校验时间戳，时间戳若小于数据数据库中记录，即意味发生攻击。

基于上述建议，即使 Cookie 被窃取，却因 Cookie 被随机更新，且内容无规律性，攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。

       在做购物车和登陆的时间用到了这些知识，总结一下，其他还有redis和session共享的知识，等待下篇博客总结。