cookie和session的关系

JSESSIONID

每一个session对象都有一个sessionId,而在cookie数组中，又一个元素叫做JSESSIONID，服务器将session对象的sessionId,以名称叫JSESSIONID，值为sessionId的形式存入cookie数组中，这样cookie和session就发生了关联。session和cookie的关系如下图所示：

以上过程也可以用如下代码来实现：

HttpServletRequest req=ServletActionContext.getRequest();
        HttpServletResponse res=ServletActionContext.getResponse();
        Cookie cookie=new Cookie("JSESSIONID", req.getSession().getId());
　　　　　res.addCookie(cookie);

servlet自动帮我们完成了如上的操作。

清空浏览器的时候，session是否会消失？

答案

首先可以肯定的回答是session不会消失。
这个问题包含着一些陷阱。因为很多时候当我们清空浏览器以后，确实需要重新登录系统才可以操作，所以很多人自然而然认为清空浏览器缓存（包含cookie）以后。session就会消失，但实际上session是存在于服务器的，清除浏览器缓存只是清除了cookie，跟session一点关系都没有。那么为什么我们需要重新登录呢？

原因

一般的web项目会通过session来判断用户是否有登录，常用的判断语句是if(session.get("userId")==null)。如果为空，则表示需要重新登录。这里其实隐式地调用了getSession()方法。因为清空了浏览器缓存，这时候cookie数组中必定不会有JSESSIONID这个cookie，所以必须得新建一个session，用新的sessionId来给JSESSIONID这个cookie赋值。由于是新建的session，session中必定没有userId这样的属性值，因此判断结果自然为空，所以需要重新登录。这次赋值以后，下一次再请求该网站的时候，由于cookie数组中已经有了JSESSIONID这个cookie，并且能通过该JSESSIONID的值找到相应的session，所以就不需要再重新登录了。