Java周边技术：cookie & Session

一、session、cookie是什么

 Cookie，为什么取这个名？这个名字的含义就是吃曲奇吃多了，闻到你那个味就知道你是谁了 ~ 所以服务器一旦收到客户端发来的cookie，服务器就知道你是谁了 ~
 标准的Http协议指的是不包括cookies, session，application的http协议，他们都不属于标准协议，虽然各种网络应用提供商，实现语言、web容器等，都默认支持它。而且Http是一种无状态的协议，在不同的请求中无法进行数据传递（比如第一次请求我登录成功了，现在我要买东西所以发起第二次请求，但是第二次请求服务器就不记得我有没有登录过了，无法将第一次登录成功的数据传递给第二次请求）。
 所以这时候就需要一种可以进行请求间数据传递的会话跟踪技术，而cookie就是一种这样的技术（简单来讲就是要把之前请求获得的数据保存起来，记忆起来，帮助健忘症的老板娘回想起来）。
 Cookie是由服务器生成，保存在客户端的一种信息载体。这个载体中存放着用户访问该站点的会话状态信息。只要Cookie没有被清空，或者Cookie没有失效，那么，保存在其中的会话状态就有效。
 用户在提交第一次请求后，由服务器生成Cookie，并将其封装到响应头中，以响应的方式发送给客户端。客户端接收到这个响应后，将Cookie保存在客户端本地。当客户端再次发送同类请求（请求符合Cookie设置过的资源路径）后，在请求中会携带保存在客户端的Cookie数据，发送到服务端，由服务器对会话进行跟踪。
 Cookie技术并不是JavaWeb开发专属技术，而是属于Web开发技术，是所有Web开发语言均支持的技术。

二、如何在浏览器中查看Cookie

三、Cookie与资源路径进行绑定

 cookie默认和请求资源路径进行绑定，如请求：www.niupi.online/xxx/ooo/jjj/getCookie之后，服务器设置了cookie为page=“getCookie”。然后如果我再次发送请求www.niupi.online/xxx/ooo/jjj/asdfsd后，因为资源路径相同，所以浏览器也会把cookie page="getCookie"设置在请求头中，然后服务器就可以拿到之前响应该客户端的数据了。

// cookie与自定义路径进行绑定，要用cookie.setPath
@ResponseBody
@GetMapping("/aaa/getCookie")
public String getCookie1(HttpServletRequest request, HttpServletResponse response){
    Cookie cookie = new Cookie("cookieTest", "getCookie1");
    cookie.setPath(request.getContextPath() + "/");
    response.addCookie(cookie);
    return "请求正常";
}

Cookie绑定的路径，在访问子路径时，会包含其父路径的Cookie，而在访问父路径时，不包含子路径的Cookie。

四、Cookie保存到客户端硬盘

 cookie默认是保存在浏览器内存中，不会保存在客户端硬盘。要向cookie保存在客户端硬盘，就要给cookie设置有效时间cookie.setMaxAge

五、Cookie的安全问题

 因为cookie是存放在客户端的硬盘上，所以不能保存账号、密码等敏感信息，通常会用token代替。

六、JSESSIONID

 如果禁用了cookie，可以使用url拼接";JSESSIONID=xxx"来实现session功能，进而让服务器有会话跟踪能力。
 对于用户来讲，一次会话的结束是当前浏览器窗口关闭；对于后台来讲，一次会话的结束是一次session的生成到销毁；