Http的Session和Cookie

1. 由于HTTP协议是无状态的协议，所以服务端需要记录用户的状态时，就需要用某种机制来识具体的用户，这个机制就是Session。

典型的场景比如购物车，当你点击下单按钮时，由于HTTP协议无状态，所以并不知道是哪个用户操作的，所以服务端要为特定的用户创建了特定的Session，用用于标识这个用户，并且跟踪用户，这样才知道购物车里面有几本书。这个Session是保存在服务端的，有一个唯一标识。在服务端保存Session的方法很多，内存、数据库、文件都有。集群的时候也要考虑Session的转移，在大型的网站，一般会有专门的Session服务器集群，用来保存用户会话，这个时候 Session 信息都是放在内存的，使用一些缓存服务比如Memcached之类的来放 Session。
2. 思考一下服务端如何识别特定的客户？

这个时候Cookie就登场了。每次HTTP请求的时候，客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的，第一次创建Session的时候，服务端会在HTTP协议中告诉客户端，需要在 Cookie 里面记录一个Session ID，以后每次请求把这个会话ID发送到服务器，我就知道你是谁了。有人问，如果客户端的浏览器禁用了 Cookie 怎么办？一般这种情况下，会使用一种叫做URL重写的技术来进行会话跟踪，即每次HTTP交互，URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数，服务端据此来识别用户。
3. Cookie其实还可以用在一些方便用户的场景下，设想你某次登陆过一个网站，下次登录的时候不想再次输入账号了，怎么办？这个信息可以写到Cookie里面，访问网站的时候，网站页面的脚本可以读取这个信息，就自动帮你把用户名给填了，能够方便一下用户。这也是Cookie名称的由来，给用户的一点甜头。
所以，总结一下：
Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；
Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息。也是实现Session的一种方式。

一、什么是http session,有什么用

HTTP协议本身是无状态的,本身并不能支持服务端保存客户端的状态信息，于是，Web Server中引入了session的概念，用来保存客户端的状态信息。 

这 里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处，HTTP Request是一个顾客，第一次来到存包处，管理员把顾客的物品存放在某一个柜子里面（这个柜子就相当于Session），然后把一个号码牌交给这个顾 客，作为取包凭证（这个号码牌就是Session ID）。顾客（HTTP Request）下一次来的时候，就要把号码牌（Session ID）交给存包处（Web Server）的管理员。管理员根据号码牌（Session ID）找到相应的柜子（Session），根据顾客（HTTP Request）的请求，Web Server可以取出、更换、添加柜子（Session）中的物品，Web Server也可以让顾客（HTTP Request）的号码牌和号码牌对应的柜子（Session）失效。顾客（HTTP Request）的忘性很大，管理员在顾客回去的时候（HTTP Response）都要重新提醒顾客记住自己的号码牌（Session ID）。这样，顾客（HTTP Request）下次来的时候，就又带着号码牌回来了。 
我们可以看到，Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。

二、session的工作原理

1）当一个用户向服务器发送第一个请求时，服务器为其建立一个session，并为此session创建一个标识号；

2 ) 这个用户随后的所有请求都应包括这个标识号。服务器会校对这个标识号以判断请求属于哪个session。

这种机制不使用IP作为标识，是因为很多机器是通过代理服务器方式上网，没法区分每一台机器。

对于session标识号（sessionID），有两种方式实现：cookies和URL重写。

三、一般用来实现Session的方法有两种

1）URL重写。 
Web Server在返回Response的时候，检查页面中所有的URL，包括所有的连接，和HTML Form的Action属性，在这些URL后面加上“;jsessionid=XXX”。 
下一次，用户访问这个页面中的URL。jsessionid就会传回到Web Server。

2）Cookie。 

如果客户端支持Cookie，Web Server在返回Response的时候，在Response的Header部分，加入一个“set-cookie: jsessionid=XXXX”header属性，把jsessionid放在Cookie里传到客户端。 

客户端会把Cookie存放在本地文件里，下一次访问Web Server的时候，再把Cookie的信息放到HTTP Request的“Cookie”header属性里面，这样jsessionid就随着HTTP Request返回给Web Server。

四、HttpSession总结

1、HTTP协议本身是“连接-请求-应答-关闭连接”模式的，是一种无状态协议（HTTP只是一个传输协议）；
2、Cookie规范是为了给HTTP增加状态跟踪用的（如果要精确把握，建议仔细阅读一下相关的RFC），但不是唯一的手段；
3、所谓Session，指的是客户端和服务端之间的一段交互过程的状态信息（数据）；这个状态如何界定，生命期有多长，这是应用本身的事情；
4、 由于B/S计算模型中计算是在服务器端完成的，客户端只有简单的显示逻辑，所以，Session数据对客户端应该是透明的不可理解的并且应该受控于服 务端；Session数据要么保存到服务端（HttpSession），要么在客户端和服务端之间传递（Cookie或url rewritting或Hidden input）；
5、由于HTTP本身的无状态性，服务端无法知道客户端相继发来的请求是来自一个客户的，所以，当使用服务端HttpSession存储会话数据的时候客户端的每个请求都应该包含一个session的标识(sid, jsessionid 等等)来告诉服务端；
6、会话数据保存在服务端（如HttpSession）的好处是减少了HTTP请求的长度，提高了网络传输效率；客户端session信息存储则相反；
7、 客户端Session存储只有一个办法：cookie(url rewritting和hidden input因为无法做到持久化，不算，只能作为交换session id的方式，即a method of session tracking)，而服务端做法大致也是一个道理：容器有个session管理器（如tomcat的 org.apache.catalina.session包里面的类），提供session的生命周期和持久化管理并提供访问session数据的 api；
8、使用服务端还是客户端session存储要看应用的实际情况的。一般来说不要求用户注册登录的公共服务系统（如google）采用 cookie做客户 端session存储（如google的用户偏好设置），而有用户管理的系统则使用服务端存储。原因很显然：无需用户登录的系统唯一能够标识用户的就是用 户的电脑，换一台机器就不知道谁是谁了，服务端session存储根本不管用；而有用户管理的系统则可以通过用户id来管理用户个人数据，从而提供任意复 杂的个性化服务；
9、客户端和服务端的session存储在性能、安全性、跨站能力、编程方便性等方面都有一定的区别，而且优劣并非绝对（譬如 TheServerSide 号称不使用HttpSession，所以性能好，这很显然：一个具有上亿的访问用户的系统，要在服务端数据库中检索出用户的偏好信息显然是低效 的，Session管理器不管用什么数据结构和算法都要耗费大量内存和CPU时间；而用cookie，则根本不用检索和维护session数据，服务器可 以做成无状态的，当然高效）；
10、 所谓的“会话cookie”简单的说就是没有明确指明有效期的cookie，仅在浏览器当前进程生命期内有效，可以被后继的Set-Cookie操作清除掉。

当 程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id，如果已包含一个session id则说明以前已经为此客户端创建过session，服务器就按照session id把这个 session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 session id将被在本次响应中返回给客户端保存。

保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID.

五、Session何时被创建、何时被删除

何时创建：

一 个常见的误解是以为session在有客户端访问时就被创建，然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建，注意如果JSP没有显示的使用 <% @page session="false"%> 关闭session，则JSP文件在编译成Servlet时将会自动加上这样一条语句 HttpSession session = HttpServletRequest.getSession(true);这也是JSP中隐含的 session对象的来历。由于session会消耗内存资源，因此，如果不打算使用session，应该在所有的JSP中关闭它。

何时删除：

a.程序调用HttpSession.invalidate();

b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;

c.服务器进程被停止（非持久session）

如何做到在浏览器关闭的时候删除cookie？

严格的讲，做不到这一点。可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session。但是对于浏览器崩溃或者强行杀死进程这些非常规手段仍然无能为力。

六、Session的其他问题

1、存放在session中的对象必须是可序列化的吗？

不是必需的。要求对象可序列化只是为了session能够在集群中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。

2、如何才能正确的应付客户端禁止cookie的可能性

对所有的URL使用URL重写，包括超链接，form的action，和重定向的URL

七、理解Cookie机制

1）cookie机制的基本原理就如上面的例子一样简单，但是还有几个问题需要解决：“会员卡”如何分发；“会员卡”的内容；以及客户如何使用“会员卡”。

2）正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。

3） 而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于 等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。意思是麦当劳的会员卡只能在麦当劳的店里出示，如果某家 分店还发行了自己的会员卡，那么进这家店的时候除了要出示麦当劳的会员卡，还要出示这家店的会员卡。

八、cookie的内容

主要包括：名字，值，过期时间，路径和域。

路径、域和作用范围：其中域可以指定某一个域比如.google.com，相当于总店招牌，比如宝洁公司，也可以指定一个域下的具体某台机器比如www.google.com或者froogle.google.com，可以用飘柔来做比。
路径就是跟在域名后面的URL路径，比如/或者/foo等等，可以用某飘柔专柜做比。
路径与域合在一起就构成了cookie的作用范围。

过期时间：如 果不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览器会话期的 cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。如果设置了过期时间，浏览器 就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。

浏览器差异：存 储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的处理方式。对于 IE，在一个打开的窗口上按Ctrl-N（或者从文件菜单）打开的窗口可以与原窗口共享，而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存 cookie；对于Mozilla Firefox0.8，所有的进程和标签页都可以共享同样的cookie。一般来说是用javascript的window.open打开的窗口会与原窗 口共享内存cookie。浏览器对于会话cookie的这种只认cookie不认人的处理方式经常给采用session机制的web应用程序开发者造成很大的困扰。

一、Session简单介绍

　　在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

二、Session和Cookie的主要区别

• Cookie是把用户的数据写给用户的浏览器。
• Session技术把用户的数据写到用户独占的session中。
• Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象。

三、session实现原理

3.1、服务器是如何实现一个session为一个用户浏览器服务的？

 　　服务器创建session出来后，会把session的id号，以cookie的形式回写给客户机，这样，只要客户机的浏览器不关，再去访问服务器时，都会带着session的id号去，服务器发现客户机浏览器带session id过来了，就会使用内存中与之对应的session为之服务。可以用如下的代码证明：

 1 package xdp.gacl.session; 2  3 import java.io.IOException; 4 import javax.servlet.ServletException; 5 import javax.servlet.http.HttpServlet; 6 import javax.servlet.http.HttpServletRequest; 7 import javax.servlet.http.HttpServletResponse; 8 import javax.servlet.http.HttpSession; 9 10 public class SessionDemo1 extends HttpServlet {11 12     public void doGet(HttpServletRequest request, HttpServletResponse response)13             throws ServletException, IOException {14 15         response.setCharacterEncoding("UTF=8");16         response.setContentType("text/html;charset=UTF-8");17         //使用request对象的getSession()获取session，如果session不存在则创建一个18         HttpSession session = request.getSession();19         //将数据存储到session中20         session.setAttribute("data", "孤傲苍狼");21         //获取session的Id22         String sessionId = session.getId();23         //判断session是不是新创建的24         if (session.isNew()) {25             response.getWriter().print("session创建成功，session的id是："+sessionId);26         }else {27             response.getWriter().print("服务器已经存在该session了，session的id是："+sessionId);28         }29     }30 31     public void doPost(HttpServletRequest request, HttpServletResponse response)32             throws ServletException, IOException {33         doGet(request, response);34     }35 }

　　第一次访问时，服务器会创建一个新的sesion，并且把session的Id以cookie的形式发送给客户端浏览器，如下图所示：

　　

　　点击刷新按钮，再次请求服务器，此时就可以看到浏览器再请求服务器时，会把存储到cookie中的session的Id一起传递到服务器端了，如下图所示：

　　

　　我猜想request.getSession()方法内部新创建了Session之后一定是做了如下的处理

1 //获取session的Id2 String sessionId = session.getId();3 //将session的Id存储到名字为JSESSIONID的cookie中4 Cookie cookie = new Cookie("JSESSIONID", sessionId);5 //设置cookie的有效路径6 cookie.setPath(request.getContextPath());7 response.addCookie(cookie);

四、浏览器禁用Cookie后的session处理

4.1、IE8禁用cookie

　　工具->internet选项->隐私->设置->将滑轴拉到最顶上（阻止所有cookies）

　　

4.2、解决方案：URL重写

　　response.encodeRedirectURL(java.lang.String url) 用于对sendRedirect方法后的url地址进行重写。
　　response.encodeURL(java.lang.String url)用于对表单action和超链接的url地址进行重写

4.3、范例：禁用Cookie后servlet共享Session中的数据

IndexServlet

 1 package xdp.gacl.session; 2  3 import java.io.IOException; 4 import java.io.PrintWriter; 5 import java.util.LinkedHashMap; 6 import java.util.Map; 7 import java.util.Set; 8 import javax.servlet.ServletException; 9 import javax.servlet.http.HttpServlet;10 import javax.servlet.http.HttpServletRequest;11 import javax.servlet.http.HttpServletResponse;12 13 //首页：列出所有书14 public class IndexServlet extends HttpServlet {15 16     public void doGet(HttpServletRequest request, HttpServletResponse response)17             throws ServletException, IOException {18 19         response.setContentType("text/html;charset=UTF-8");20         PrintWriter out = response.getWriter();21         //创建Session22         request.getSession();23         out.write("本网站有如下书：<br/>");24         Set<Map.Entry<String,Book>> set = DB.getAll().entrySet();25         for(Map.Entry<String,Book> me : set){26             Book book = me.getValue();27             String url =request.getContextPath()+ "/servlet/BuyServlet?id=" + book.getId();28             //response. encodeURL(java.lang.String url)用于对表单action和超链接的url地址进行重写29             url = response.encodeURL(url);//将超链接的url地址进行重写30             out.println(book.getName()  + "   <a href='"+url+"'>购买</a><br/>");31         }32     }33 34     public void doPost(HttpServletRequest request, HttpServletResponse response)35             throws ServletException, IOException {36         doGet(request, response);37     }38 }39 40 41 /**42  * @author gacl43  * 模拟数据库44  */45 class DB{46     private static Map<String,Book> map = new LinkedHashMap<String,Book>();47     static{48         map.put("1", new Book("1","javaweb开发"));49         map.put("2", new Book("2","spring开发"));50         map.put("3", new Book("3","hibernate开发"));51         map.put("4", new Book("4","struts开发"));52         map.put("5", new Book("5","ajax开发"));53     }54     55     public static Map<String,Book> getAll(){56         return map;57     }58 }59 60 class Book{61     62     private String id;63     private String name;64 65     public Book() {66         super();67     }68     public Book(String id, String name) {69         super();70         this.id = id;71         this.name = name;72     }73     public String getId() {74         return id;75     }76     public void setId(String id) {77         this.id = id;78     }79     public String getName() {80         return name;81     }82     public void setName(String name) {83         this.name = name;84     }85 }

BuyServlet

 1 package xdp.gacl.session; 2  3 import java.io.IOException; 4 import java.util.ArrayList; 5 import java.util.List; 6 import javax.servlet.ServletException; 7 import javax.servlet.http.HttpServlet; 8 import javax.servlet.http.HttpServletRequest; 9 import javax.servlet.http.HttpServletResponse;10 import javax.servlet.http.HttpSession;11 12 public class BuyServlet extends HttpServlet {13 14     public void doGet(HttpServletRequest request, HttpServletResponse response)15             throws ServletException, IOException {16         String id = request.getParameter("id");17         Book book = DB.getAll().get(id);  //得到用户想买的书18         HttpSession session = request.getSession();19         List<Book> list = (List) session.getAttribute("list");  //得到用户用于保存所有书的容器20         if(list==null){21             list = new ArrayList<Book>();22             session.setAttribute("list", list);23         }24         list.add(book);25         //response. encodeRedirectURL(java.lang.String url)用于对sendRedirect方法后的url地址进行重写26         String url = response.encodeRedirectURL(request.getContextPath()+"/servlet/ListCartServlet");27         System.out.println(url);28         response.sendRedirect(url);29     }30 31     public void doPost(HttpServletRequest request, HttpServletResponse response)32             throws ServletException, IOException {33         doGet(request, response);34     }35 36 }

ListCartServlet

 1 package xdp.gacl.session; 2  3 import java.io.IOException; 4 import java.io.PrintWriter; 5 import java.util.List; 6 import javax.servlet.ServletException; 7 import javax.servlet.http.HttpServlet; 8 import javax.servlet.http.HttpServletRequest; 9 import javax.servlet.http.HttpServletResponse;10 import javax.servlet.http.HttpSession;11 12 public class ListCartServlet extends HttpServlet {13 14     public void doGet(HttpServletRequest request, HttpServletResponse response)15             throws ServletException, IOException {16         response.setContentType("text/html;charset=UTF-8");17         PrintWriter out = response.getWriter();18         HttpSession session = request.getSession();19         List<Book> list = (List) session.getAttribute("list");20         if(list==null || list.size()==0){21             out.write("对不起，您还没有购买任何商品!!");22             return;23         }24         25         //显示用户买过的商品26         out.write("您买过如下商品:<br>");27         for(Book book : list){28             out.write(book.getName() + "<br/>");29         }30     }31 32     public void doPost(HttpServletRequest request, HttpServletResponse response)33             throws ServletException, IOException {34         doGet(request, response);35     }36 }

　　在禁用了cookie的IE8下的运行效果如下：

　　

　　通过查看IndexServlet生成的html代码可以看到，每一个超链接后面都带上了session的Id，如下所示

1 本网站有如下书：<br/>javaweb开发   <a href='/JavaWeb_Session_Study_20140720/servlet/BuyServlet;jsessionid=96BDFB9D87A08D5AB1EAA2537CDE2DB2?id=1'>购买</a><br/>2 spring开发   <a href='/JavaWeb_Session_Study_20140720/servlet/BuyServlet;jsessionid=96BDFB9D87A08D5AB1EAA2537CDE2DB2?id=2'>购买</a><br/>3 hibernate开发   <a href='/JavaWeb_Session_Study_20140720/servlet/BuyServlet;jsessionid=96BDFB9D87A08D5AB1EAA2537CDE2DB2?id=3'>购买</a><br/>4 struts开发   <a href='/JavaWeb_Session_Study_20140720/servlet/BuyServlet;jsessionid=96BDFB9D87A08D5AB1EAA2537CDE2DB2?id=4'>购买</a><br/>5 ajax开发   <a href='/JavaWeb_Session_Study_20140720/servlet/BuyServlet;jsessionid=96BDFB9D87A08D5AB1EAA2537CDE2DB2?id=5'>购买</a><br/>

　　所以，当浏览器禁用了cookie后，就可以用URL重写这种解决方案解决Session数据共享问题。而且response. encodeRedirectURL(java.lang.String url) 和response. encodeURL(java.lang.String url)是两个非常智能的方法，当检测到浏览器没有禁用cookie时，那么就不进行URL重写了。我们在没有禁用cookie的火狐浏览器下访问，效果如下：

　　从演示动画中可以看到，浏览器第一次访问时，服务器创建Session，然后将Session的Id以Cookie的形式发送回给浏览器，response. encodeURL(java.lang.String url)方法也将URL进行了重写，当点击刷新按钮第二次访问，由于火狐浏览器没有禁用cookie，所以第二次访问时带上了cookie，此时服务器就可以知道当前的客户端浏览器并没有禁用cookie，那么就通知response. encodeURL(java.lang.String url)方法不用将URL进行重写了。

五、session对象的创建和销毁时机

5.1、session对象的创建时机

　　在程序中第一次调用request.getSession()方法时就会创建一个新的Session，可以用isNew()方法来判断Session是不是新创建的

范例：创建session

 1 //使用request对象的getSession()获取session，如果session不存在则创建一个 2 HttpSession session = request.getSession(); 3 //获取session的Id 4 String sessionId = session.getId(); 5 //判断session是不是新创建的 6 if (session.isNew()) { 7     response.getWriter().print("session创建成功，session的id是："+sessionId); 8 }else { 9     response.getWriter().print("服务器已经存在session，session的id是："+sessionId);10 }

5.2、session对象的销毁时机

　　session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间，例如：

 1 <?xml version="1.0" encoding="UTF-8"?> 2 <web-app version="2.5"  3     xmlns="http://java.sun.com/xml/ns/javaee"  4     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  5     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee  6     http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> 7   <display-name></display-name> 8    9   <welcome-file-list>10     <welcome-file>index.jsp</welcome-file>11   </welcome-file-list>12 13   <!-- 设置Session的有效时间:以分钟为单位-->14     <session-config>15         <session-timeout>15</session-timeout>16     </session-config>17 18 </web-app>

　　当需要在程序中手动设置Session失效时，可以手工调用session.invalidate方法，摧毁session。

1 HttpSession session = request.getSession();2 //手工调用session.invalidate方法，摧毁session3 session.invalidate();