Cookie 与 Session的建立流程

一 原理

当用浏览器登录到某网站服务器时，先找对应的Cookie文件，当首次访问是当然没有Cookie文件，所以在请求头部中没有Cookie的内容，即在请求头部中没有类似Cookie: JSESSIONID=XXXXXXXXXXXXXXX的内容，这时当请求到达服务器后，服务器看请求头中没有JSESSIONID值，于是生成一个Session对象，并由某种算法产生一个值赋给这个Session的id,并将SessionId,和Session对象放入HashMap中，然后将这个SessionId发回以客户端，即在响应的头部有一行：Set-Cookie:JSESSIONID=XXXXXXXXXXXXXX，浏览器解析后会将在JSESSIONID和值记录到Cookie中。

当用浏览器再次请求此网站的另一页面时，浏览器检查看有没有Cookie，这时有Cookie（前提是Cookie没有过期），会自动的把Cookie的内容附加到请求头中，即在请求头附加了一行：Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXX，服务器接收到请求后会根据JSESSIONID的值知道SessionId的值，在tomcat中两个值是一样的，然后你可根据这个SessionId找到对应的Session，可由Session中登录后设定的某些值是否为空，来判断此用户是否登录。

当用户安全登出后（调用session.invalidate()），服务器会将Session销毁，并生成一个新的JSESSIONID发回用客户端，浏览器接收响应后，会将Cookie中的JSESSIONID换成新值，当用户再次访问此服务器时，会在请求中自动的加入新的JSESSIONID的值发到服务器，这时服务器根据JSESSIONID找不对应的Session了，因此就可知道是一次新的会话，服务器会生成一个Session对象，并将客户端发过来的JSESSION的值赋给这个Session的id。

如果客户端禁用了Cookie那么服务器可就无法将session内容与客户端对应上了。

Session以tomcat为例默认是保存在内存中的，但是我们可以通过配置将Session持久化，保存在硬盘文件中

二 cookie的时间限制

cookie是有时间限制的，根据生命期不同分成两种：会话cookie和持久cookie；

如果不设置过期时间，则表示这个cookie生命周期为从创建到浏览器关闭止，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。

如果设置了过期时间(setMaxAge(606024))，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的cookie，不同的浏览器有不同的处理方式。