Cookie与Session的区别与联系及生命周期

一、Session与Cookie介绍

这些都有基础知识，不过有必要做深入了解。先简单介绍一下。

二者的定义：

当你在浏览网站的时候，Web 服务器会先发送一个小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择，都记录下来。当下次你再次光临同一个网站，Web 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie 里的内容了判断使用者，送出特定的网页内容给你。Cookie 的使用者很普遍，许多有提供个人化服务的网站，都是利用 Cookie 来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 email 网站，都要用到 Cookie。

具体来说 cookie 机制采用的是在客户端保持状态的方案，而  session 机制采用的是在服务器端保持状态的方案。

用时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以 session 机制可能需要借助于 cookie 机制来达到保存标识的目的，但实际上它还有其他选择。

cookie 机制。正统的 cookie 分发是通过扩展 Http 协议来实现的，服务器通过在 Http 的响应头上加上一行特殊的指示以提示浏览器按照指示生成相应的 cookie。然而纯粹的客户端脚本如 JavaScript 或者 VBScript 也可以生成 cookie。而 cookie 的使用是由浏览器按照一定的原则在后端自动发送给服务器的。浏览器检查所有存储的 cookie，如果某个 cookie 所声明的作用范围大于等于将要请求的资源所在的位置，则把该 cookie 附在请求资源的 Http 请求头上发送给服务器。

cookie 的内容主要包括：名字、值、过期时间、路径和域。路径与域一起构成 cookie 的作用范围。若不设置过期时间，则表示这个 cookie 的生命周期为浏览器会话期间，关闭浏览器窗口，cookie 就消失。这种生命周期为浏览器会话期的 cookie 被称为会话 cookie。会话 cookie 一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把 cookie 保存在硬盘上，关闭后再次打开浏览器，这些 cookie 仍然有效直到超过设定的过期时间。存储在硬盘上的 cookie 可以在不同的浏览器进程间共享，比如两个 IE 窗口。而对于保存在内存里的 cookie，不同的浏览器有不同的处理方式。

session 机制。session 机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

当程序需要为某个客户端的请求创建一个 session 时，服务器首先检查这个客户端的请求里是否已包含了一个 session 标识（称为 session id），如果已包含则说明以前已经为此客户端创建过 session，服务器就按照 session id 把这个 session 检索出来使用（检索不到，会创建一个），如果客户端请求不包含 session id，则为客户端创建一个 session 并且生成一个与此 session 相关联的 session id，session id 的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 session id 将被在本次响应中返回给客户端保存。保存这个 session id 的方式可以采用 cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个 cookie 的名字都是类似于 SESSIONID。但 cookie 可以被人为的禁止，则必须有其他机制以便在 cookie 被禁止时仍然能够把 session id 传递回服务器。

经常被使用的一种技术叫做 URL 重写，就是把 session id 直接附加在 URL 路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把 session id 传递回服务器。比如：

<form name="testform" action="/xxx">
    <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"/>
    <input type="text"/>
</form>

实际上这种技术可以简单的用对 action 应用 URL 重写来代替。

二、二者之间的区别

cookie 和 session 的比较

一、对于 cookie：

1. cookie 是创建于服务器端
2. cookie 保存在浏览器端
3. cookie 的生命周期可以通过 cookie.setMaxAge(2000);来设置，如果没有设置 setMaxAge，则 cookie 的生命周期当浏览器关闭的时候，就消亡了
4. cookie 可以被多个同类型的浏览器共享，可以把 cookie 想象成一张表

比较：

①存在的位置：

cookie 存在于客户端，临时文件中

session 存在于服务器的内存中，一个 session 域对象一个用户浏览器服务器

②安全性

cookie 是以明文的方式存放在客户端的，安全性低，可以通过一个加密算法进行加密后存放

session 存放在服务器的内容中，所以安全性好

③网络传输量

cookie 会传递消息给服务器

session 本身存放于服务器，不会有传送流量

④生命周期（以 20 分钟为例）

（1）cookie 的生命周期是累计的，从创建时，就开始计时，20 分钟后，cookie 生命周期结束

（2）session 的生命周期是间隔的，从创建时，开始计时如在 20 分钟，没有访问 session，那么 session 生命周期被销毁，但是，如果在 20 分钟内（如在第 19 分钟）访问过 session，那么，将重新计算 session 的生命周期

（3）关机会造成 session 生命周期的结束，但是对 cookie 没有影响

⑤访问范围

cookie 为多个用户浏览器共享

session 为一个用户浏览器独享

 

使 session 失效的方法：

1. 关闭 tomcat
2. reload web 应用
3. session 时间到
4. invalidate session