细说那些Cookie与Session不为人知的故事

---

1.关于Cookie

(1)首先我们来讲一下流程
第一步，服务器设置响应头Set-Cookie，浏览器接收到响应信息后根据Set-Cookie值来设置Cookie的键，值，过期时间，有效访问路径。

第二步，浏览器在本地或者内存保存Cookie后，每次进行请求的时候，判断当前请求url是否符合该Cookie有效访问路径，然后这些符合条件的Cookie放在请求头的Cookie参数里面，发送给服务器。

第三步，服务器根据请求头的Cookie参数的值来获取Cookie并使用。

(2)讲java中Cookie的使用方法。

读完（1）中的流程，我们很容易得知Cookie的设置与获取本质上是通过设置响应头Set-Cookie和请求头Cookie来实现的，但在javaweb实际开发中，我们并不这样做，因为字符串的拼接比较麻烦，而java是一门面向对象的语言，我们的编程方式自然要面向对象咯，于是java把这操作都封装了起来。我们来看看封装后的api。

1.Cookie的设置与添加：

 //第一步建立Cookie对象,并设置有效路径，过期时间等
        Cookie c1=new Cookie("name","zhangshan");
        c1.setPath("/studyTest");//设置有效路径
        c1.setMaxAge(60*4);//设置有效时间
        Cookie c2=new Cookie("age","20");
        //第二步，调用reseponse的addCookie方法（其本质是设置Set-Cookie响应头）
        resp.addCookie(c1);
        resp.addCookie(c2);

这里需要说明的是，Cookie的寿命：
setMaxAge函数设置Cookie的寿命，它接收的参数n有以下几种情况
    n大于0,则是n秒后该Cookie过期
    n等于0，表示立即杀死该Cookie
    n小于0,表示Cookie存在于浏览器内存，关闭浏览器后杀死Cookie。
    默认，跟小于0是一样的。

2.Cookie的获取

Cookie[] cookies=req.getCookies();
if (cookies!=null){
    for (Cookie c : cookies) {
        System.out.println(c.getName()+":"+c.getValue());
    }
}

在java里面没有直接根据Cookie的name来获取value的方法。
但是我们可以自己进行封装，比如我们只需要把request对象传一个方法，再根据requ获取全部Cookies,把它们的name和value封装进一个Map，返回这个Map即可。
3.Cookie的缺点
（1）首先就是不安全。
（2）只能存字符串，不能存对象。
（3）字符串中不能有中文。
（4）浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB

你可能会想，这么多缺点，还用个球啊。。。。Cookie的优点就是占用的是客服端的内存，，，不会因为Cookie多了对服务器造成压力。。。这一个优点就可以让你战术性的忽略它的缺点。

2.关于Session

(1)Session流程
    第一步:在代码中为Session新增键值对后，就会在服务器保存Session对象，并产生一个随机字符串，与该Session对象关联起来。
    第二步:服务器通过响应头设置一个Cookie,值就是刚才产生的那个随机字符串，键在java中叫JSESSIONID（这个Cookie在后文中我用JSESSIONID表示）。
    第三步：由1中所讲Cookie流程中可以知道，每一次请求的时候，请求头就会带上JSESSIONID，而服务器收到这个JSESSIONID后就会查找这个JSESSIONID对应的Session对象。由此，我们便找到了这个Session.

    然后需要注意的是：
    这个叫JSESSIONID的Cookie的寿命默认是内存级的，也就是说浏览器关闭后，它就会自杀。这也就导致了关闭后重新打开网页时，浏览器不会再发送原来的那个JSESSIONID，服务器自然也就找不到原来的那个Session对象了。但是这个Session对象不会立即消失，而是在寿命到头时才会死去。
    服务器会把长期没有活动的Session对象清除，在tomcat中，这个时间是20分钟。
    了解上面这些过后，我们便可以通过自己手动新建叫JSESSIONID的Cookie并调用它的setMaxAge来修改Session表面上的寿命。

（2）Session的使用
比较简单，直接看代码。

        //创建Session，并添加键值对
        HttpSession session=req.getSession();
        session.setAttribute("name","张三");
        session.setAttribute("age",25);
        //获取
        System.out.println(session.getAttribute("name"));
        System.out.println(session.getAttribute("age"));
        //设置Session寿命
        session.setMaxInactiveInterval(60*4);
        //销毁Session
        session.invalidate();

（3）Session的缺点
1.在服务器创建，占用的是服务器的资源。