cookie和session

基本概念

cookie是保存在客户端的文本数据，用来记录用户状态以及其他一些相关信息

session是保存在服务器端的数据，用来记录回话过程中的需要保存状态的数据

cookie的主要内容包括：名字，值，过期时间，路径和域
     
      关于作用范围
      cookie中指定的路径和域共同组成该cookie的作用范围，比如说某个cookie的域是localhost，路径是test那么该cookie的作用域就是localhost/test，也就是说当你访问localhost/test这个路径下的内容时，浏览器就会将这个cookie加入我们请求信息中一起传递给浏览器，而当我们访问其他路径的内容时该cookie信息则不会被发送
     
      关于过期时间
      如果不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里。如果设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。
      存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的处理方式。
对于IE，在一个打开的窗口上按Ctrl-N（或者从文件菜单）打开的窗口可以与原窗口共享，而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存cookie；对于Mozilla，Firefox0.8，Google所有的进程和标签页都可以共享同样的cookie。

       session与cookie的联系
       session机制一般都借助于cookie来达到保存状态的目的，我们知道，浏览器以sessionId来标识每个session，servlet容器将sessionId作为一个cookie数据保存在客户的浏览器中，每次客户发送http请求时就会带上这个cookie信息，服务器通过解析请求就可以获得sessionid然后找到对应的session

 

 

深入探讨
     
1.  session何时被删除

       在谈论session机制的时候，常常听到这样一种误解“只要关闭浏览器，session就消失了”。之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个sessionid就消失了，再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session。恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。
      事实上，session在下列情况下被删除
                 a.程序调用HttpSession.invalidate();
                 b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;
                 c.服务器进程被停止

2.  cookie被禁用后session还能工作么？

     可以！ 一般来将session的实现都是通过cookie来记录sessionId,但是当cookie被禁用是我们仍然有其他办法来保存sessionId。最常见的就是URL重写，就是把sessionid直接附加在URL路径的后面，表现形式为    http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
那么如何实现url重写呢？
Java Servlet API 中提出了跟踪 Session 的另一种机制，如果客户端浏览器不支持 Cookie，Servlet 容器可以重写客户请求的 URL，把 Session ID 添加到 URL 信息中。 HttpServletResponse 接口提供了重写 URL 的方法：public java.lang.String encodeURL(java.lang.String url)
   该方法的实现机制为：
      先判断当前的 Web 组件是否启用 Session，如果没有启用 Session，直接返回参数 url。
      再判断客户端浏览器是否支持 Cookie，如果支持 Cookie，直接返回参数 url；如果不支持 Cookie，就在参数 url 中加入 Session ID 信息，然后返回修改后的 url。
    我们可以对网页中的链接稍作修改，解决以上问题：
    修改前：
        <a href=“maillogin.jsp“>
    修改后：
        <a href=“<%=response.encodeURL(“maillogin.jsp“)%>“>

3 .  第一方cookie和第三方cookie
      所谓“第一方Cookies”，指的是来自当前正在访问的网站，储存了一定信息的Cookies;所谓“第三方Cookies”指的是当前访问的网站中会加载另外第三方的代码，例如促销广告，那么第三方也会在访客的计算机上添加cookie，这种就是第三方cookie。例如访问新浪微博，京东的广告出现了，那么京东有可能就会在访客的计算器上添加这个cookie文件, 京东就属于第三方

4.   开两个浏览器窗口访问应用程序会使用同一个session还是不同的session
       通过上面的讨论我们可以知道，不同的浏览器，不同的窗口打开方式以及不同的cookie存储方式都会对这个问题的答案有影响。