Session 与Cookie

一、Session

1、什么是session：session对象是一个JSP内置对象，它在第一个JSP页面被装载时自动创建，完成会话期管理。

    从一个客户打开浏览器并连接到服务器开始，到客户关闭浏览器离开这个服务器结束，被称为一个会话。当一个客户访问一个服务器时，可能会在这个服务器的几个页面之间反复连接，反复刷新一个页面，服务器应当通过某种办法知道这是同一个客户，这就需要session对象。

 2、session对象的ID：当一个客户首次访问服务器上的一个JSP页面时，JSP引擎产生一个session对象，同时分配一个String类型的ID号，JSP引擎同时将这个ID号发送到客户端，存放在Cookie中，这样session对象和客户之间就建立了一一对应的关系。当客户再访问连接该服务器的其他页面时，不再分配给客户新的session对象，直到客户关闭浏览器后，服务器端该客户的session对象才取消，并且和客户的会话对应关系消失。当客户重新打开浏览器再连接到该服务器时，服务器为该客户再创建一个新的session对象。

3、session的生存周期：对象存在一定时间过期问题，所以存在session中的名值对会在一定时间后失去，可以通过更改session有效时间来避免这种情况。同时编程时尽量避免将大量有效信息存储在session中，request是一个不错的替代对象。

二、Cookie

1、什么是Cookie：指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。所以Cookie由服务器端生成，保存在客户端（浏览器），浏览器会将Cookie的key/value存储在文本文件内，下次访问同一网站时就会将cookie发送给浏览器。Cookie名称和值可以由服务器端开发自己定义，对于JSP而言也可以直接写入jsessionid，这样服务器可以知道该用户是否合法用户以及是否需要重新登录等，服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态。

2、Cookie的常用方法：Cookies最典型的应用是判定注册用户是否已经登录网站。另一个重要应用场合是“购物车”之类处理，用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

3、Cookie的生存周期：Cookie可以保持登录信息到用户下次与服务器的会话，换句话说，下次访问同一网站时，用户会发现不必输入用户名和密码就已经登录了。而还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。

三、Session与Cookie的联系

HTTP协议是无状态的，对于一个浏览器发出的多次请求，WEB服务器无法区分 是不是来源于同一个浏览器。 所以，为了实现会话，服务端需要一个会话标识ID能保存到浏览器，让它在后续的请求时都带上这个会话标识ID，以便让服务端知道 某个请求属于哪个会话，这样便可以维护与会话相关的状态数据。由于Cookie对于用户来说，是个不可见的东西，而且每次请求都会传递到服务端，所以它就是很理想的会话标识ID的保存容器。