理解Session与Cookie

转载地址：http://www.cnblogs.com/wuguanglei/p/4294251.html

在web的世界里，客户端通过HTTP Request向服务器发送请求，服务器通过HTTP Response响应用户请求，可是由于HTTP协议是无状态的，导致客户端和服务器端每次就像喝了孟婆汤一样，彼此相忘，导致每一次客户端的HTTP Request，服务器端都会认为是一次新的请求。对于一些简单的业务逻辑，彼此相忘，互不记得，没什么大碍，可是有的时候，就需要服务器端记住客户端，保持客户端访问的连续状态，以便实现所需的业务逻辑，方便服务器端程序编写。（例如一个用户登陆进去购物网站，那么就需要服务器端记住该用户的状态，不至于方法每一页面都需要用户登陆），于是就出现了Cookie和Session用来解决这种问题。

1.Cookie

　　（1）当客户端第一次访问服务器，向服务器端发送HTTP Request，服务器端返回HTTP Response，在HTTP Response的Header中通过Set-Cookie来设置Cookie，以便在客户端保存信息,例如Set-Cookie的设置如下：

名称：UserName内容：Nicaiwoshishui域：    cnblogs.com脚本可访问：    是创建时间：    2015年2月16日星期一下午3:32:28过期时间：    2015年8月17日星期一下午3:32:28

　　（2）客户端（如浏览器）在收到服务器端HTTP Response后，看到了Set-Cookie的设置，那么就会在客户端电脑浏览器相应的目录生成该Cookie文件。对于IE浏览器来说，每一个域名的Cookie的内容保存成一个文件名为XXX.txt的文件，对于Chrome浏览器来说，所有的Cookie内容都写入一个文件；不过这不是关键，我们只需知道浏览器将Cookie内容保存下来了。

　　（3）当客户端第二次访问服务器时，向服务器发送HTTP Request，在HTTP Request的Header中，会包含上面的Cookie信息，这样在服务器端收到HTTP Request后，就知道是谁在访问了。

　　（4）以后的每次向服务器的HTTP Request，Header中都会包含该Cookie信息，直到过期时间到了为止。

　　（5）Cookie的存在大大方便了我们的操作，我们可以存入任意我们需要的信息，但是Cookie的内容会随着HTTP Request在header中传送，不宜过大。往往浏览器都会限制Cookie的大小和数目，同时也可以对Cookie内容进行压缩再进行传送。

2.Session

　　Cookie的内容是保存在客户端，我们也可以把数据保存在服务器端，这就是Session。Session有会话的意思，需要与Cookie的配合才能起作用。

　　（1）当客户端第一次访问服务器，向服务器端发送HTTP Request，服务器收到HTTP Request，如果在服务器端代码中启动Session设置，那么会生成一个唯一的SessionID，例如SessionID为：hu3g8fckjbk584qp2jn941vho5,之后服务器端会为以该SessionID为名生成Session文件，保存在服务器文件中，例如在服务器端生成文件名为sess_hu3g8fckjbk584qp2jn941vho5的文件；有时也会保存在内存中，生成与SessID相对应的对象；有时也可以保存在数据库中；无论保存在哪里，可以说生成了一个唯一SessionID的Session，之后我们就可以设置Session的内容了，例如Session['UserName']='nicaiwoshishui'。

　　（2）服务器端通过唯一的SessionID保存了用户的信息，在返回的HTTP Response中，仍然会有Set-Cookie的设置，不过现在不再需要把用户名保存在Cookie中，而是将SessionID保存在Cookie中，同样也会设置Cookie的过期时间等等信息，由于该Cookie保存的是SessionID的信息，因此也称为SessionCookie。有时我们启动Session后，并不需要我们手动的设置Cookie，web server会自动帮我们在HTTP Response的header中增加Set-Cookie的设置。

　　（3）当客户第二次访问服务器，发送的HTTP Request的Header中会含有该Cookie信息，服务器端收到Cookie信息后就能从中找到SessionID，进而可以找到服务器端内保存的该SessionID的Session了，无论是从内存中、文件中、数据库中，甚至是分布式环境中。

　　（4）Session可以设置有效期，如果在有效期内，一直没有客户端访问，那么到有效期过后，用户访问服务器后，需要重新设置Session；对于需要登录的网站，会提示会话过期，请重新登录。

　　（5）SessionCookie也有有效期，一般默认的是关闭浏览器后就过期，因此关闭浏览器后如果在访问之前登录的网站，会提示会话过期，请重新登录。这里注意，虽然关闭浏览器后，客户端的SessionCookie就被删除了，但是如果服务器端的Session还没有过期，那么服务器端的Session信息仍然会被保留；由于SessionCookie被删除了，无法在HTTP Request的Header中传送SessionID，因此也就无法再识别该用户了。

　　（6）如果使用浏览器A访问服务器端，服务器端设置的SessionID为SessionID1，使用浏览器B访问服务器端，服务器设置的SessionID为SessionID2，那么SessionID1与SessionID2不同，其中使用浏览器A的用户设置的所有Session值，如Session['userName']值会保存在SessionID1中，而使用浏览器B的用户设置的所有Session值，保存在SessionID2中，两者互相不干扰。

　　（7）Session需要与SessionCookie配合才能够很好工作，如果客户端禁用Cookie后，那么Session机制就会失效，具体体现就是用户在浏览器中访问很多网站访问不了。

　　（8）为了使禁用Cookie的用户能够正常访问服务器端网站，可以通过一种URL Rewriting的方法，解决Session机制失效的问题。

 　　理解了Session和Cookie的基本概念，对于解决一些更复杂的问题，也会变得比较容易。