[笔记]Cookie和session知识点小结

1. Cookie

1.1 cookie定义

服务器发送给客户端（浏览器）的特殊信息

Cookie意为“甜饼”，是由W3C组织提出，最早由Netscape社区发展的一种机制。目前Cookie已经成为标准，所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。

1.2 原理和作用

1.2.1 Cookie的工作原理

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。所以就给客户端们颁发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份。

1.2.2 cookie设置到发送到服务器经过四步

1. 客户端发送一个http请求到服务器端
2. 服务器端发送一个http响应到客户端，其中包含Set-Cookie头部
3. 客户端发送一个http请求到服务器端，其中包含Cookie头部
4. 服务器端发送一个http响应到客户端

1.3 cookie生命周期

1. 如果不设置过期时间，表示这个cookie的生命周期为浏览器的会话时间
2. 如果设置过期时间，浏览器会把cookie保存到硬盘上，关闭后再次打开浏览器，cookie依旧有效直到超过预定时间。另外，存在硬盘的cookie可以在不同的浏览器上共享。

1.4 常用方法

4.1 cookie类所有属性（javax.servlet.http.Cookie）

String name：该Cookie的名称。Cookie一旦创建，名称便不可更改。
Object value：该Cookie的值。如果值为Unicode字符，需要为字符编码。如果值为二进制数据，则需要使用BASE64编码。
int maxAge：该Cookie失效的时间，单位秒。如果为正数，则该Cookie在maxAge秒之后失效。如果为负数，该Cookie为临时Cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该Cookie。如果为0，表示删除该Cookie。默认为–1。
boolean secure：该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS，SSL等，在网络上传输数据之前先将数据加密。默认为false。
String path：该Cookie的使用路径。如果设置为“/sessionWeb/”，则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”，则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。
String domain：可以访问该Cookie的域名。如果设置为“.google.com”，则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。
String comment：该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。
int version：该Cookie使用的版本号。0表示遵循Netscape的Cookie规范，1表示遵循W3C的RFC 2109规范。

1.4.2 cookie的用法

Cookie cookie = new Cookie("name","peter"); // 新建Cookie
cookie.setDomain(".agx.com");               // 设置域名
cookie.setPath("/");                        // 设置路径
cookie.setMaxAge(Integer.MAX_VALUE);        // 设置有效期为永久   c.setMaxAge(60);//60秒的意思
cookie.setSecure(true); // 设置安全属性
response.addCookie(cookie);                 // 输出到客户端

1.修改某个cookie，建同名的cookie覆盖。
2.删除某个cookie，建同名的cookie并将maxAge设置为0覆盖要删除的cookie。
注意：新建的Cookie除value、maxAge之外的所有属性需与原来的cookie相同才能覆盖成功。

输出当前页面所有的cookie

//JS输出cookie

1.5 cookie的应用

1.保存登录的用户名和密码
a.直接将用户名和密码保存到cookie中
b.密码加密后保存到Cookie中，下次访问时解密并与数据库比较。（较为安全）
c.把账号按照一定的规则加密后，连同账号一块保存到Cookie中。下次访问时只需要判断账号的加密规则是否正确即可。

2. Session

2.1 定义

Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间。

2.2 工作原理和工作流程

2.2.1 工作原理

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

2.2.2 工作过程：

1. 用户在第一次访问服务器就开始创建session，产生session对象
2. 给session对象分配一个唯一标识sessionId，以sessionId为键，以session对象为值，封装成Map集合。
   3.产生响应时，将sessionId以cookie方式发送给客户端，存放在客户端浏览器的缓存中
   4.当客户端再次请求服务器，会将sessionId以cookie请求头的方式发送给服务器，服务器得到sessionId后，从Map集合中，得到session对象，从而跟踪状态。

2.3 用法

2.3.1 session的属性（javax.servlet.http.HttpSession）

void setAttribute(String attribute, Object value)：设置Session属性。value参数可以为任何Java Object。通常为Java Bean。value信息不宜过大
String getAttribute(String attribute)：返回Session属性
Enumeration getAttributeNames()：返回Session中存在的属性名
void removeAttribute(String attribute)：移除Session属性
String getId()：返回Session的ID。该ID由服务器自动创建，不会重复
long getCreationTime()：返回Session的创建日期。返回类型为long，常被转化为Date类型，例如：Date createTime = new Date(session.get CreationTime())
long getLastAccessedTime()：返回Session的最后活跃时间。返回类型为long int
getMaxInactiveInterval()：返回Session的超时时间。单位为秒。超过该时间没有访问，服务器认为该Session失效
void setMaxInactiveInterval(int second)：设置Session的超时时间。单位为秒
void putValue(String attribute, Object value)：不推荐的方法。已经被**setAttribute(String attribute, Object Value)替代
Object getValue(String attribute)：不被推荐的方法。已经被getAttribute(String attr)替代
boolean isNew()：返回该Session是否是新创建的 void invalidate()：使该Session失效

2.3.2 Session的用法

HttpSession session = request.getSession();       // 获取Session对象
session.setAttribute("loginTime", new Date());     // 设置Session中的属性

out.println("登录时间为：" +(Date)session.getAttribute("loginTime"));      // 获取Session属性

2.4 Session的应用

1. 判断用户是否登录。登录界面验证用户登录信息，如果登录正确，就把用户信息以及登录时间保存进Session，然后转到欢迎页面welcome.jsp。welcome.jsp中从Session中获取信息，并将用户资料显示出来。
   2.购物车功能。
   注意：为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。Session的超时时间为maxInactiveInterval属性

3.cookie与session的区别

1. cookie通过在客户端记录信息确定用户身份，session通过在服务器端记录用户信息确定用户身份。
2. cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session；
3. session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE；
4. 单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能超过3K；

4. 参考文献

理解Cookie和Session机制