cookie和session的区别

cookie机制和session机制的区别具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上还有其他选择。

一、cookie

会话cookie和持久cookie的区别如果不设置过期时间，则表示这个cookie生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。如果设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的cookie，不同的浏览器有不同的处理方式。

1. cookie的发送

创建Cookie对象、设置最大时效、将Cookie放入到HTTP响应报头

如果你创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie（存储在浏览器的内存中），用户退出浏览器之后被删除。如果你希望浏览器将该cookie存储在磁盘上，则需要使用maxAge，并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。发送cookie需要使用HttpServletResponse的addCookie方法，将cookie插入到一个Set-CookieHTTP请求报头中。由于这个方法并不修改任何之前指定的Set-Cookie报头，而是创建新的报头，因此我们将这个方法称为是addCookie，而非setCookie。同样要记住响应报头必须在任何文档内容发送到客户端之前设置。

2. cookie的读取

获取浏览器发送来的cookie，需要调用HttpServletRequest的getCookies方法，这个调用返回Cookie对象的数组。对数组进行循环，调用每个cookie的getName方法，直到找到cookie为止。
cookie与你的主机(域)相关，而非你的servlet或JSP页面。因而，尽管你的servlet可能只发送了单个cookie，你也可能会得到许多不相关的cookie。例如：

String cookieName = “userID”;
Cookie cookies[] = request.getCookies();
if (cookies!=null){
    for(int i=0;i<cookies.length;i++){
	Cookie cookie = cookies[i];
	if (cookieName.equals(cookie.getName())){
	    doSomethingWith(cookie.getValue());
	}
    }
}

二、session

1. session在不同环境下的不同含义

session，中文经常翻译为会话，其本来的含义是指有始有终的一系列动作/消息，比如打电话是从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。然而当session一词与网络协议相关联时，它又往往隐含了“面向连接”和“保持状态”这样两个含义。

session在Web开发环境下的语义又有了新的扩展，它的含义是指一类用来在客户端与服务器端之间保持状态的解决方案。有时候Session也用来指这种解决方案的存储结构。

2. session的机制

session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否包含了一个session标识－称为session id，如果已经包含一个session id则说明以前已经为此客户创建过session，服务器就按照session id把这个session检索出来使用(如果检索不到，可能会新建一个，这种情况可能出现在服务端已经删除了该用户对应的session对象，但用户人为地在请求的URL后面附加上一个JSESSION的参数)。如果客户请求不包含session id，则为此客户创建一个session并且生成一个与此session相关联的session id，这个session id将在本次响应中返回给客户端保存。

 

3. 保存session id的几种方式

1) 保存session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。

2) 由于cookie可以被人为的禁止，必须有其它的机制以便在cookie被禁止时仍然能够把session id传递回服务器，经常采用的一种技术叫做URL重写，就是把session id附加在URL路径的后面，附加的方式也有两种，

一种是作为URL路径的附加信息，表现形式为：

http://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764

另一种是作为查询字符串附加在URL后面，表现形式为：

http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764

网络在整个交互过程中始终保持状态，就必须在每个客户端可能请求的路径后面都包含这个session id。

3) 另一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。

session什么时候被创建一个常见的错误是以为session在有客户端访问时就被创建，然而事实是直到某server端程序(如Servlet)调用HttpServletRequest.getSession(true)这样的语句时才会被创建。

 

4. session在下列情况下被删除：

1) 程序调用HttpSession.invalidate()

2) 距离上一次收到客户端发送的session id时间间隔超过了session的最大有效时

3) 服务器进程被停止

再次注意关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效，不会使服务器端的session对象失效。

 

5. getSession()/getSession(true)、getSession(false)的区别

1) getSession()/getSession(true)：当session存在时返回该session，否则新建一个session并返回该对象

2) getSession(false)：当session存在时返回该session，否则不会新建session，返回null

 

6. 如何将信息与会话关联起来

1) setAttribute会替换任何之前设定的值；如果想要在不提供任何代替的情况下移除某个值，则应使用removeAttribute。这个方法会触发所有实现了HttpSessionBindingListener接口的值的valueUnbound方法。

2) 会话属性的类型限制:通常会话属性的类型只要是Object就可以了。除了null或基本类型，如int,double,boolean。如果要使用基本类型的值作为属性，必须将其转换为相应的封装类对象

 

7. 如何废弃会话数据

1) 只移除自己编写的servlet创建的数据：调用removeAttribute(“key”)将指定键关联的值废弃

2) 删除整个会话(在当前Web应用中)：调用invalidate，将整个会话废弃掉。这样做会丢失该用户的所有会话数据，而非仅仅由我们servlet或JSP页面创建的会话数据

Cookie的过期和Session的超时有什么区别会话的超时由服务器来维护，它不同于Cookie的失效日期。首先，会话一般基于驻留内存的cookie不是持续性的cookie，因而也就没有截至日期。

session cookie和session对象的生命周期是一样的吗当用户关闭了浏览器虽然session cookie已经消失，但session对象仍然保存在服务器端