cookie和session

会话跟踪技术

• cookie：客户端

作用

将网页中的数据保存到浏览器中：

document.cookie

默认不会保存任何数据，保存的方式为：

document.cookie = "key=value";

不能一次性设置多条数据，要想保存多条数据，只能一条一条的设置 。

有个数的限制：20~50；

有大小的限制：4kb左右；

使用时保证cookie个数小于20，大小小于4kb。

 生命周期

默认情况下是一次会话（浏览器关闭表示本次会话结束，数据会被清空）。

如果通过expires=设置了过期时间，并且过期时间没有过期，那么下次打开浏览器还是存在；如果已经过期，那么会立即删除保存的数据。

设置过期时间,这里设置为当前时间加1天。

var date = new Date();
date.setDate(data.getDate() + 1);
document.cookie = "key=value;expires="+date.toGMTString()+";"

作用范围 

同一个浏览器的同一个路径下访问。 

如果在同一个浏览器中，默认情况下，下一级路径可以访问，上一级目录不可以。

在同一个浏览器中，保存到根路径后都可以访问：

document.cookie = "key=value;path=/";

 指定根域名，同一个站点，二级域名可以相互访问

document.cookie = "key=value;path=/;domain=127.0.1;";

• session：服务端

在服务器中系统会为每个会话维护一个Session。不同的会话，对应不同的Session，在同一会话中，一直使用同一个Session对象。

工作原理

（1）写入Session列表

服务器对当前应用中的session是以Map的形式进行管理的，这个Map称为session列表。Map的key是一个32位长度的随机串JSessionID,value为session对象的引用。

当用户提交一次请求，服务端执行request.getSession()方法后,会自动生成一个Map.Entry（键值对）对象，key: JSessionID,value: HttpSession对象

（2）服务器生成并发送Cookie

Cookie对象的name为JSessionID，value为32位的随机串，发送到客户端

（3）客户端接收并发送Cookie

客户端接收到这个Cookie后会保存到浏览器的缓存中。

用户提交第二次请求时，会将缓存中的Cookie，伴随着请求头部信息，一起发送到服务端。

（4）从Session列表中查找

服务端从请求中读取到客户端发来的Cookie,并根据Cookie的JSessionID值，从Map中查找对应key所对应的value，即Session对象。然后对该对象的域属性进行读写操作。

Session超时

超时时间是从最后一次访问开始计时，在指定时间内未被访问的时长。

默认超时时间为30分钟。

在web.xml中通过<session-config>标签设置，单位为分钟。

通过HttpSession中的Invalide()方法，提前使Session失效。

注意

默认情况下，当用户关闭了浏览器，session cookie已经被清除，但session对象仍然保存在服务器端。